• Artikel

Windows Server 2008

Darstellungsvirtualisierung mit erweiterten Terminaldiensten

Joshua Schnoll

 

Auf einen Blick:

  • Neue Features in Windows Server 2008-Terminaldienste
  • Verwenden des Terminaldienstegateways für den Remotezugriff
  • Lastenausgleich mit Terminaldienste-Sitzungsbroker

Inhalt

Neuerungen bei Terminaldiensten
Sicherheitsfeatures
Features für die Benutzerfreundlichkeit
Einfacherer Remotezugriff
Terminaldienstegateway
Terminaldienste-Sitzungsbroker

Virtualisierung ist heutzutage in aller Munde, obwohl allgemein angenommen wird, dass sich dieser Begriff lediglich auf virtuelle Computer und die Virtualisierung von Betriebssystemen bezieht. Terminaldienste werden aber bereits seit der Veröffentlichung von Windows NT 4.0 zur Abstrahierung der Darstellungsschicht von Remoteanwendungen und -desktops eingesetzt. Über diesen Zeitraum hinweg haben große Veränderungen im Bereich Terminaldienste stattgefunden. Windows Server 2008 bietet jetzt eine ausgereifte und stabile Darstellungsvirtualisierungsplattform. Der Schwerpunkt dieses Artikels liegt auf den wichtigsten Verbesserungen bei Terminaldiensten.

Neuerungen bei Terminaldiensten

Die Terminaldienste in Windows Server 2008 haben viele neue Features und Funktionen:

RemoteApp für Terminaldienste Eine der großartigen Änderungen in Windows Server 2008 ist die Möglichkeit der Fernsteuerung einer einzelnen Anwendung. In früheren Versionen von Terminaldiensten wurde der gesamte Remotedesktop übertragen, auch wenn Sie nur auf eine einzige Anwendung zugreifen wollten. Dies war für Benutzer oft verwirrend, weil einige Anwendungen auf dem Remotedesktop (über Terminaldienste) und einige auf dem lokalen Desktop angezeigt wurden, und es war manchmal nicht einfach, sich daran zu erinnern, welcher Desktop über welche Anwendung verfügte. Jetzt haben Anwendungen, auf die über Terminaldienste zugegriffen wird, das gleiche Erscheinungsbild und Verhalten wie bei Ausführung auf dem lokalen Computer des Endbenutzers.

Web Access für Terminaldienste Ganz oben auf der Wunschliste aller Benutzer stand eine einfache Möglichkeit zum Starten von Anwendungen durch den Endbenutzer. Web Access für Terminaldienste erfüllt diese Anforderung, indem Administratoren ermöglicht wird, einzelne Anwendungen auf einer Webseite zu veröffentlichen. Web Access für Terminaldienste enthält eine Standardwebseite für den sofortigen Einsatz, kann aber auch angepasst und in eine SharePoint-Website integriert werden. Für den Start einer RemoteApp für Terminaldienste mit Web Access für Terminaldienste besucht der Benutzer eine Webseite (über das Internet oder ein Intranet), auf der eine Liste aller verfügbaren Anwendungen angezeigt wird, und klickt auf die zu startende Anwendung.

In Windows Server 2003 war ein separates ActiveX-Steuerelement mit dem Namen Remotedesktop-Webverbindung (Remote Desktop Web Connection, RDWC) erforderlich, um eine Verbindung von einem Browser zu ermöglichen. Jetzt ist das Steuerelement direkt in den wichtigsten Remotedesktopverbindungsclient (Remote Desktop Connection, RDC) integriert, und daher müssen keine Daten in den Client heruntergeladen oder darin installiert werden. Außerdem wird im Gegensatz zum alten RDWC-Client der gesamte Satz von Remotedesktop-Protokollfeatures (Remote Desktop Protocol, RDP) unterstützt.

Terminaldienstegateway Das Terminaldienstegateway ist eines der bedeutendsten neuen Features in Windows Server 2008. RDP-Datenverkehr läuft über Port 3389, und eines der Hauptprobleme für Administratoren bei der Bereitstellung eines Terminalservers für Benutzer außerhalb der Firewall war, dass entweder dieser Port in der Firewall geöffnet (nicht empfohlen) oder eine separate VPN-Lösung (kostspielig) verwendet werden musste. Mit dem Terminaldienstegateway wird der RDP-Datenverkehr über HTTPS (Port 443) getunnelt, um eine verschlüsselte Verbindung zwischen Remotebenutzern im Internet und dem Terminalserver (oder Remote-PC) einzurichten. Noch besser ist, dass das Szenario auch dann großartig funktioniert, wenn sich der Benutzer oder der Terminalserver hinter einem NAT-Router (Netzwerkadressübersetzung) befindet.

Das Terminaldienstegateway kann mit einem anderen Feature von Windows Server 2008 gekoppelt werden, dem Netzwerkzugriffsschutz (Network Access Protection, NAP). Dadurch lässt sich die Integrität der Clientcomputer sicherstellen, bevor Zugriff auf Ressourcen zu Terminaldiensten gewährt wird.

Terminaldienste-Sitzungsbroker In Windows Server 2000 wurde der Netzwerklastenausgleich (Network Load Balancing, NLB) eingeführt, und obwohl dies für Webserver recht gut funktioniert, war es für den Lastenausgleich von Terminaldiensten nicht ideal geeignet. Der neue Terminaldienste-Sitzungsbroker bietet eine großartige Alternative, indem die Sitzungsverzeichnisfunktionen von Windows Server 2003 erweitert werden, um einen sitzungsbasierten Lastenausgleich zu ermöglichen.

Mit dem Terminaldienste-Sitzungsbroker werden neue Sitzungen innerhalb der Farm auf den Server mit der geringsten Belastung verteilt, und Benutzer müssen nicht wissen, wo eine Sitzung eingerichtet wurde, um erneut eine Verbindung zu einer vorhandenen Sitzung aufzubauen. IT-Manager können das Feature zum Zuordnen der IP-Adresse jedes Terminalservers zu einem einzigen DNS-Eintrag verwenden. Diese Konfiguration kann auch Fehlertoleranz bieten: Wenn einer der Farmserver nicht verfügbar ist, stellen Benutzer eine Verbindung zum Server in der Farm mit der nächstgeringsten Last her.

Easy Print für Terminaldienste Der Druckvorgang innerhalb einer Terminaldienste-Umgebung war schon immer ein besonderes Problem für Administratoren. Da sowohl auf den Server- als auch auf den Clientcomputern übereinstimmende Druckertreiber erforderlich waren, hatten Endbenutzer weniger Flexibilität beim Installieren von Druckern, während Administratoren zusätzlich die Verwaltung von Drucktreibern auf dem Server übernehmen mussten. In Gegensatz dazu können Benutzer mit Easy Print für Terminaldienste nun zuverlässige Druckvorgänge von RemoteApp für Terminaldienste oder einer vollständigen Desktopsitzung auf einem lokalen Drucker ausführen, ungeachtet dessen, ob dieser direkt oder über ein Netzwerk angeschlossen ist. Das Beste aber ist, dass Drucker jetzt ohne die Installation von Treibern auf dem Terminalserver unterstützt werden können.

Wenn ein Benutzer von einem RemoteApp für Terminaldienste-Programm oder von einer Desktopsitzung drucken möchte, wird das gesamte Dialogfeld der Druckereigenschaften vom lokalen Client aus angezeigt und ermöglicht Zugriff auf alle Druckerfunktionen (z. B. Wasserzeichen, Sortieren und Heften). Der Druckauftrag wird beim Drucken mit dem Microsoft XPS-Dateiformat auf dem Server gerendert und zum Client gesendet. Außerdem können Administratoren mit Easy Print für Terminaldienste Gruppenrichtlinien zur Begrenzung der Anzahl von Druckern verwenden, die nur zum Standarddrucker umgeleitet werden, was zu verringertem Aufwand und erhöhter Skalierbarkeit führt.

Dies sind die wichtigen Features in Windows Server 2008. An späterer Stelle in diesem Artikel wird weiter auf RemoteApp für Terminaldienste, Web Access für Terminaldienste, Terminaldienstegateway und Terminaldienste-Sitzungsbroker eingegangen. Zunächst sollen einige andere großartige, aber weniger auffallende Features in dieser Version näher beleuchtet werden.

Sicherheitsfeatures

Sicherheit wurde in der neuen Version von Terminaldiensten verstärkt.

Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) und Serverauthentifizierung (Server Authentication, SA) In früheren Versionen von Terminaldiensten hätte ein DoS- oder Man-in-the-Middle-Angriff gegen den Anmeldebildschirm des Terminalservers gestartet werden können, da Benutzern der Anmeldebildschirm angezeigt wurde, nachdem sie im RDC-Client auf „Verbinden“ geklickt hatten. Jetzt authentifiziert NLA die Benutzer-, Clientcomputer- und Serveranmeldeinformationen im Vergleich miteinander, bevor eine Terminaldienstesitzung auf dem Server gestartet und der Anmeldebildschirm anzeigt wird. Die Serverauthentifizierung verwendet Transport Layer Security (TLS), um sicherzustellen, dass Clients eine Verbindung zu einem legitimen Terminalserver und nicht zu einem nicht autorisierten Computer herstellen.

Einmalige Anmeldung Benutzer wollen die Möglichkeit haben, einen Satz Anmeldeinformationen (eine Benutzer-Kennwortkombination oder eine Smartcard-und-PIN-Kombination) verwenden zu können, um nur eine einzige Authentifizierung durchzuführen, und wollen nicht jedes Mal nach diesen Anmeldeinformationen gefragt werden, wenn sie eine neue Ressource verwenden. In dieser Version ist bei Domänenmitgliedscomputern, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, bei einer Verbindung zu einem Windows Server 2008-basierten Terminalserver oder Terminaldienstegateway jetzt die einmalige Anmeldung möglich.

Diensthärtung auf Systemebene Sowohl Windows Vista als auch Windows Server 2008 weisen die neue Systemebenenhärtung auf, bei der Komponenten des Betriebssystems im Grunde genommen modularisiert und auf unteren Berechtigungsstufen ausgeführt werden. Dieses Feature wurde in Terminaldiensten implementiert, indem das zentrale Terminaldienstemodul (termsrv.dll) in zwei separate Komponenten aufgeteilt wurde (lsm.exe, der zentrale Sitzungsmanager, und termsrv.dll für Remotekonnektivität).

Zuvor wurde termsrv.dll auf höherer Systemberechtigungsstufe ausgeführt. Jetzt wird nur noch ein Drittel des ursprünglichen termsrv.dll-Codes im neuen lsm.exe auf dieser Ebene ausgeführt. Die restlichen zwei Drittel werden auf der viel tieferen Netzwerkdienstberechtigungsstufe ausgeführt. Diese Änderung verringert die Angriffsfläche im Vergleich zu Windows Server 2003 erheblich.

Features für die Benutzerfreundlichkeit

Zu den Verbesserungen für Benutzer gehören die folgenden:

Benutzerdefinierte Bildschirmauflösung Da Monitore immer größer und Bildschirmauflösungsformate immer vielfältiger werden, wurde in Windows Server 2008-Terminaldiensten in dieser Hinsicht ein großer Schritt nach vorn getan.

Der Endbenutzer hat die Möglichkeit, eine benutzerdefinierte Bildschirmauflösung (bis 4096 x 2048) festzulegen oder das Format für eine Breitbildanzeige in 16:9 oder 16:10 zu ändern. Alle neuen Bildschirmkonfigurationen werden unterstützt, z. B. Bildschirme mit der Auflösung 1680 x 1050 oder 1920 x 1200. Dies ist eine große Verbesserung im Vergleich zu Windows Server 2003 mit einer Auflösung von maximal 1600 x 1200 und einem Format von maximal 4:3. Eine benutzerdefinierte Bildschirmauflösung lässt sich im RDC-Client-Dialogfeld, in einer .rdp-Datei oder von einer Eingabeaufforderung aus festlegen.

Zum Festlegen einer benutzerdefinierten Bildschirmauflösung in einer .rdp-Datei öffnen Sie die .rdp-Datei in einem Texteditor, und fügen die folgenden Einstellungen hinzu bzw. ändern sie (beachten Sie, dass <value> die Auflösung ist, z. B. 1680 oder 1050):

desktopwidth:i:<value>
desktopheight:i:<value>

Um eine benutzerdefinierte Bildschirmauflösung von einer Eingabeaufforderung aus festzulegen, verwenden Sie den mstsc.exe-Befehl mit der folgenden Syntax (beachten Sie, dass <width> und <height> die Auflösung angeben, z. B. 1680 oder 1050):

mstsc.exe /w:<width> /h:<height>

Multimonitor-Funktion Bei Remotedesktopsitzungen können jetzt mehrere Monitore einbezogen werden. Damit dieses Feature richtig funktioniert, müssen einige Voraussetzungen erfüllt sein:

  • Alle Monitore müssen dieselbe Auflösung verwenden. So können z. B. zwei Monitore einbezogen werden, die beide 1024 x 768 verwenden. Die Multimonitor-Funktion ist aber nicht mit einem Monitor mit 1024 x 768 und einem Monitor mit 800 x 600 möglich.
  • Alle Monitore müssen horizontal ausgerichtet sein (das heißt nebeneinander). Mehrere vertikale Monitore im Clientsystem werden für die Multimonitor-Funktion derzeit nicht unterstützt.
  • Die gesamte Auflösung aller Monitore darf die maximale Auflösung von 4096 x 2048 nicht überschreiten.

Um die Multimonitor-Funktion in einer .rdp-Datei zu aktivieren, öffnen Sie die .rdp-Datei in einem Texteditor, und fügen Sie die folgenden Einstellungen hinzu bzw. ändern sie (Hinweis: Bei <value>=0 ist die Multimonitor-Funktion deaktiviert, bei <value>=1 ist sie aktiviert):

Span:i:<value>

Um die Multimonitor-Funktion über die Eingabeaufforderung festzulegen, verwenden Sie den Befehl mstsc.exe mit der folgenden Syntax:

mstsc.exe /span

Desktopdarstellung Durch Desktopdarstellung lässt sich ein Terminaldienstedesktop eher wie ein Windows Vista-Desktop gestalten. Dieses Feature fügt dem Remotedesktop eine Reihe von Komponenten hinzu, einschließlich Windows Media Player 11, Desktopdesigns und Fotoverwaltung. So aktivieren Sie die Desktopdarstellung:

  1. Öffnen Sie den Server-Manager. Klicken Sie auf „Start“, zeigen Sie auf „Verwaltung“, und klicken Sie anschließen auf „Server-Manager“.
  2. Klicken Sie unter „Featureübersicht“ auf „Features hinzufügen“.
  3. Aktivieren Sie auf der Seite „Features auswählen“ das Kontrollkästchen „Desktopdarstellung“, und klicken Sie dann auf „Weiter“.
  4. Bestätigen Sie auf der Seite „Installationsauswahl bestätigen“, dass das Desktopdarstellungsfeature installiert werden soll, und klicken Sie auf „Installieren“.
  5. Auf der Seite „Installationsergebnisse“ werden Sie aufgefordert, den Server neu zu starten, um den Installationsvorgang zu beenden. Klicken Sie auf „Schließen“ und dann auf „Ja“, um den Server neu zu starten.

Nach dem Neustart des Servers müssen Sie bestätigen, dass das Desktopdarstellungsfeature installiert wurde.

Schriftartglättung Schriftartglättung ist der Terminaldienstename für die Unterstützung von ClearType. Dadurch werden Schriften auf dem Computer klarer angezeigt, besonders auf einem LCD-Monitor. In Windows Server 2008 ist die Schriftartglättung standardmäßig aktiviert. Sie kann auch beim Verbindungsaufbau mit einem Clientcomputer über ein Kontrollkästchen in der Remotedesktopverbindung aktiviert werden, wie in Abbildung 1 dargestellt.

fig01.gif

Abbildung 1 Aktivieren der Schriftartglättung

Sie sollten beachten, dass durch Schriftartglättung die zwischen dem Clientcomputer und dem Terminalserver verwendete Bandbreite beim Verbindungsaufbau mit einem Clientcomputer erhöht wird (je nach Szenario um 4 bis 10 Mal). Der Grund für diese Bandbreitenzunahme ist, dass bei ClearType-Schriftarten eine Remoteverarbeitung als Bitmuster anstatt als Glyphen stattfindet. Letztere werden von RDP sehr viel effizienter behandelt.

Priorisierung der Datenanzeige Bei Windows Server 2003 konnte sich ein großer Druckauftrag negativ auf die Bildschirmerfahrung auswirken. Bei der Priorisierung der Datenanzeige wird der virtuelle Kanaldatenverkehr automatisch gesteuert, damit den Bildschirm-, Tastatur- und Mausdaten eine höhere Priorität als anderem Datenverkehr wie Drucken oder Dateiübertragungen eingeräumt wird. Mit dieser Priorisierung soll sichergestellt werden, dass die Leistung Ihres Bildschirms, der Tastatur und der Maus nicht durch bandbreitenintensive Aktionen wie große Druckaufträge beeinträchtigt wird.

Standardmäßig lautet die Einstellung 70:30. Anzeige- und Eingabedaten erhalten 70 % der Bandbreite, während allem anderen Datenverkehr wie Dateiübertragungen oder Druckaufträgen 30 % zugeordnet wird.

Sie können die Einstellungen anpassen, indem Sie Änderungen an der Registrierung des Terminalservers vornehmen. Ändern Sie dazu den Wert der folgenden Einträge im Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD:

FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression

Wenn diese Einträge nicht angezeigt werden, können Sie sie hinzufügen. Klicken Sie dazu mit der rechten Maustaste auf „TermDD“, zeigen Sie auf „Neu“, und klicken Sie anschließend auf den DWORD-Wert (32-Bit).

Sie können die Priorisierung der Datenanzeige deaktivieren, indem Sie den Wert FlowControl­Disable auf 1 setzen. Wenn die Datenanzeigepriorisierung deaktiviert ist, werden alle Anforderungen gemäß der Reihenfolge ihres Eingehens behandelt. Der Standardwert für FlowControlDisable ist 0.

Sie können die relative Bandbreitenpriorität für die Datenanzeige (und die Dateneingabe) einstellen, indem Sie den Wert FlowControlDisplayBandwidth festlegen. Der Standardwert ist 70, der zulässige Maximalwert ist 255. Ebenso können Sie die relative Bandbreitenpriorität für andere virtuelle Kanäle (z. B. Zwischenablage, Dateiübertragungen oder Druckaufträge) durch Festlegen des Werts FlowControlChannelBandwidth einstellen. Der Standardwert ist 30, der zulässige Maximalwert ist 255.

Das Bandbreitenverhältnis für die Datenanzeigepriorisierung basiert auf den Werten FlowControlDisplayBandwidth und FlowControlChannelBandwidth. Wenn z. B. FlowControlDisplayBandwidth auf 150 und FlowControlChannelBandwidth auf 50 festgelegt ist, lautet das Verhältnis 150:50. Daher wird der Datenanzeige- und Eingabe 75 % der Bandbreite zugeordnet.

Der Wert FlowControlChargePostCompression bestimmt, ob die Flusssteuerung die Bandbreitenzuordnung auf der Basis von Bytes vor oder nach der Komprimierung berechnet. Der Standardwert ist 0, was bedeutet, dass die Berechnung auf Grundlage der Bytes vor der Komprimierung erfolgt.

Wenn Sie Änderungen an den Registrierungswerten vornehmen, müssen Sie den Terminalserver neu starten, damit die Änderungen wirksam werden.

Plug & Play-Geräteumleitung In Windows Server 2008-Terminaldiensten wurde die Geräteumleitung verbessert und erweitert. Jetzt ist die Umleitung tragbarer Windows-Geräte möglich, besonders Medienwiedergabegeräte auf Basis des Medientransferprotokolls (Media Transfer Protocol, MTP) und Digitalkameras auf Basis des Bildtransferprotokolls (Picture Transfer Protocol, PTP).

Diese Funktionalität kann mithilfe der Schaltfläche „Optionen“ in der Remotedesktopverbindung aktiviert werden. Wenn die Funktion aktiviert ist, wird eine Liste unterstützter Plug & Play-Geräte angezeigt, die derzeit angeschlossen sind. Nicht unterstützte Geräte werden nicht angezeigt. Sie können auch die Option zur Umleitung von Geräten auswählen, die noch nicht angeschlossen sind. In Abbildung 2 wird aufgezeigt, wie sich diese Geräte vom RDC-Client aus aktivieren lassen.

fig02_L.gif

Abbildung 2 Aktivieren von noch nicht angeschlossenen Geräten

Wenn die Sitzung zum Remotecomputer gestartet wird, sehen Sie, wie das umgeleitete Plug & Play-Gerät automatisch auf dem Remotecomputer installiert wird. In der Taskleiste werden Plug & Play-Benachrichtigungen angezeigt. Nachdem das umgeleitete Plug & Play-Gerät installiert ist, steht es für die Verwendung in Ihrer Sitzung mit dem Remotecomputer zur Verfügung. Wenn Sie z. B. ein tragbares Windows-Gerät wie eine Digitalkamera umleiten, kann eine Anwendung wie der Scanner- und Kameraassistent direkt auf den Remotecomputer zugreifen.

Sie können die Umleitung von Plug & Play-Geräten mit einer der folgenden Gruppenrichtlinieneinstellungen steuern:

  • Lassen Sie keine Umleitung unterstützter Plug & Play-Geräte zu, die sich an folgendem Standort befinden: „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Terminalserver\Geräte- und Ressourcenumleitung“.
  • Die Gruppenrichtlinieneinstellungen befinden sich unter „Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Einschränkungen bei der Geräteinstallation“.

Sie können die Umleitung von Plug & Play-Geräten auch auf der Registerkarte „Clienteinstellungen“ im Terminaldienste-Konfigurationstool (tsconfig.msc) mithilfe des Kontrollkästchens „Unterstützte Plug & Play-Geräte“ steuern.

Vereinfachter Remotezugriff

An früherer Stelle wurde bereits erwähnt, dass Benutzer mit RemoteApp für Terminaldienste eine einzige Anwendung durch Remotezugriff verwenden und mit Web Access für Terminaldienste einfach von einer Webseite aus auf Anwendungen zugreifen können. Im Folgenden werden diese Features und einige der Konfigurationsdetails näher erläutert.

RemoteApp für Terminaldienste RemoteApp-Programme können mit verschiedenen Methoden auf Benutzerdesktops bereitgestellt werden. Zusätzlich zu Web Access für Terminaldienste können Sie auch Folgendes vornehmen:

  • Erstellen einer Remotedesktopprotokolldatei.
  • Erstellen Sie mit einem vorher verteilten Windows Installer (.msi)-Paket ein Programmsymbol auf dem Desktop oder im Startmenü.
  • Ausführen einer Datei, bei der die Dateinamenerweiterung mit einem RemoteApp-Programm verknüpft ist. Dies kann vom Administrator mit einem Windows Installer-Paket konfiguriert werden.

Weitere Informationen darüber, wie Benutzer auf RemoteApp-Programme zugreifen können, finden Sie unter „Bereitstellen von RemoteApp-Programmen“ in der schrittweisen Anleitung für Windows Server 2008 RemoteApp für Terminaldienste unter go.microsoft.com/fwlink/?LinkID=84895.

Web Access für Terminaldienste Web Access für Terminaldienste ermöglicht die Bereitstellung von RemoteApp-Programmen von einem einzigen Server oder einer Terminalserverfarm. Der Terminaldienste-Manager für RemoteApp bietet einen äußerst schnellen und effizienten Prozess für die Veröffentlichung von Anwendungen in Web Access für Terminaldienste: Zuerst installieren Sie Terminaldienste, dann die zu hostenden Anwendungen.

Verwenden Sie den Terminaldienste-Manager für RemoteApp, um RemoteApp-Programme hinzuzufügen, die für Web Access für Terminaldienste aktiviert sind. Installieren Sie dann Web Access für Terminaldienste auf dem Server, mit dem Benutzer über das Web eine Verbindung aufbauen sollen. Fügen Sie der Computergruppe in Terminaldienste-Webzugriff auf dem Terminalserver das Computerkonto des Terminaldienste-Webzugriff-Servers hinzu. Konfigurieren Sie zuletzt den Terminaldienste-Webzugriff-Server so, dass die Liste von RemoteApp-Programmen von einem einzigen Terminalserver oder einer einzigen Farm aufgefüllt wird.

Wenn die Anwendungen mit der herkömmlichen Methode installiert oder dem Terminalserver mit der Anwendungsvirtualisierung (zuvor SoftGrid genannt) bereitgestellt wurden, ist es ganz einfach, diese Anwendungen in Web Access für Terminaldienste zu veröffentlichen. Der RemoteApp-Assistent leitet den Administrator durch einige schnelle und einfache Schritte, und die Anwendungen werden dann in der Liste veröffentlichter RemoteApp-Programme angezeigt.

Standardmäßig werden die Anwendungen über Web Access für Terminaldienste veröffentlicht. Der RemoteApp-Manager zeigt dann eine Liste veröffentlichter sowie solcher Anwendungen an, die Benutzern über Web Access für Terminaldienste zur Verfügung stehen.

Werfen wir nun einen Blick auf die standardmäßigen Benutzerfunktionen. Auf der ersten Registerkarte in Web Access für Terminaldienste werden die Symbole aller veröffentlichten Anwendungen angezeigt (siehe Abbildung 3), auf der zweiten Registerkarte können Benutzer mit dem Web-Front-End eine Verbindung zu einem bestimmten Desktopcomputer herstellen. Wie an früherer Stelle bereits erläutert, ist diese Weboberfläche vollständig anpassbar, und das Dokument „Schrittweise Anleitung für die Anpassung von Web Access für Terminaldienste: Anpassen von Web Access für Terminaldienste mithilfe von Windows SharePoint Services“, das Sie unter der Adresse go.microsoft.com/fwlink/?LinkID=111241 finden, ist eine großartige Ressource für die Anpassung mit SharePoint Services.

fig03.gif

Abbildung 3 Eingeben von Einstellungen für die .rdp-Dateien (zum Vergrößern auf das Bild klicken)

Andere Bereitstellungsmethoden Zusätzlich zur Verwendung von Web Access für Terminaldienste können Sie auch RemoteApp-Programme mit .rdp-Dateien oder Windows Installer-Paketen bereitstellen. Diese Pakete können durch Dateifreigabe oder durch Microsoft Systems Center Operations Manager oder Active Directory-Softwareverteilung verteilt werden. Im nächsten Abschnitt werden die Hauptschritte zum Erstellen der richtigen Pakete für die Anwendungsverteilung erläutert.

Um RemoteApp-Programme auf die Verteilung durch eine Dateifreigabe oder eine andere Verteilungsmethode vorzubereiten, müssen Sie Terminaldienste und die zu veröffentlichenden Anwendungen installieren und die Remoteverbindungseinstellungen überprüfen. Der RemoteApp für Terminaldienste-Assistent hilft Ihnen beim Hinzufügen von RemoteApp-Programmen sowie beim Konfigurieren globaler Bereitstellungseinstellungen. Dann können Sie .rdp-Dateien oder Windows Installer-Pakete erstellen.

Werfen Sie einen Blick auf die Schritte im RemoteApp-Assistenten. In Schritt 1 konfigurieren Sie die Terminalserver-, Terminaldienstegateway- und Zertifikatseinstellungen für die .rdp-Dateien (siehe Abbildung 4).

fig04.gif

Abbildung 4 Einrichten der Optionen für das Programmpaket (zum Vergrößern auf das Bild klicken)

In Schritt 2 geben Sie an, wo die Verknüpfungssymbole auf dem Desktop oder im Startmenü angezeigt werden sollen, bzw. verknüpfen Clientdateierweiterungen, damit lokale Dateien mit der RemoteApp gestartet werden (siehe Abbildung 5).

fig05.gif

Abbildung 5 Anzeigen von RemoteApp-Programmen in Web Access für Terminaldienste (zum Vergrößern auf das Bild klicken)

Im letzten Schritt öffnet der RemoteApp-Assistent den Ordner mit den verpackten Programmen, damit die verpackten Anwendungen mit der Verteilungssoftware Ihrer Wahl problemlos auf Clientcomputern bereitgestellt werden können (siehe Abbildung 6).

fig06.gif

Abbildung 6 Für die Bereitstellung verpackte Programme (zum Vergrößern auf das Bild klicken)

Terminaldienstegateway

Nun soll erläutert werden, wie das Terminaldienstegateway Ihren Remotebenutzern den Zugriff auf Anwendungen, Daten oder Desktops von außerhalb der Firewall ermöglichen kann. Abbildung 7 zeigt einen Überblick über ein typisches Szenario zum Bereitstellen des Terminaldienstegateways, um Benutzern Zugriff über das Internet zu gewähren.

fig07.gif

Abbildung 7 Aufbau einer Verbindung von einem Laptop zu Hause mit einem Unternehmensnetzwerk (zum Vergrößern auf das Bild klicken)

Im Grunde genommen befindet sich das Terminaldienstegateway im Umkreisnetzwerk und tunnelt den RDP-Datenverkehr über HTTPS. Alternativ könnten Sie einen SSL-Terminator (z. B. Microsoft Internet Security and Acceleration Server – ISA) im Umkreisnetzwerk platzieren und den eingehenden RDP-Datenverkehr zu Ihrem Terminaldienstegateway auf der anderen Seite weiterleiten.

Diese Schritte sind hier in Abbildung 7 dargestellt.

  1. Ein Benutzer mit einem Heimlaptop kann eine Verbindung über das Internet herstellen, indem er auf eine RDP-Datei oder ein RemoteApp-Programmsymbol auf dem Desktop oder auf das Symbol einer über Web Access für Terminaldienste veröffentlichten RemoteApp für Terminaldienste klickt, oder indem er den Remotedesktopverbindungs-Client öffnet.
  2. Zwischen dem Heimlaptop und den Terminalservern wird mit dem SSL-Zertifikat des Terminaldienstegatewayservers ein SSL-Tunnel eingerichtet. Bevor eine Verbindung aufgebaut wird, muss der Benutzer authentifiziert und entsprechend der Terminaldienste-Verbindungsautorisierungsrichtlinien (TS CAP) und der Terminaldienste-Ressourcenautorisierungsrichtlinien (TS RAP) autorisiert werden. Nachdem die TS RAP- und TS CAP-Richtlinien (siehe unten) durchgesetzt wurden, kann der Benutzer eine Sitzung öffnen.
  3. Der Heimlaptop tauscht mit dem Terminaldienstegateway über Port 443 verschlüsselte RDP-Pakete aus, die innerhalb von SSL gekapselt werden. Der Terminaldienstegateway leitet die RDP-Pakete über Port 3389 an den Terminalserver weiter.

Sie können eine Farm von Terminaldienstegatewayservern für größere Installationen erstellen, aber es ist eine separate Lösung (z. B. NLB oder ein Lastenausgleich eines Drittanbieters) erforderlich, um die Last unter den Serverfarmsystemen auszugleichen. Der Terminaldienste-Sitzungsbroker führt keinen Lastenausgleich für den Terminaldienstegatewayserver durch.

Jetzt soll kurz näher untersucht werden, wie diese Funktionalität bereitgestellt wird. In aller Kürze: Sie müssen ein Zertifikat für den Terminaldienstegatewayserver beziehen und konfigurieren und die zwei oben erwähnten Arten von Autorisierungsrichtlinien erstellen: TS CAP und TS RAP.

Beziehen eines Zertifikats Sie können ein vorhandenes Zertifikat verwenden oder ein neues anfordern. Es ist ein gültiges Zertifikat erforderlich, damit das Terminaldienstegateway funktioniert, und Sie haben während der Installation die Wahl, ein Zertifikat zu importieren oder ein selbst signiertes Zertifikat zu erstellen.

Die selbst signierte Option ist für interne Tests geeignet, aber für eine Bereitstellung zur externen Nutzung ist ein Zertifikat erforderlich, das von einer Unternehmenszertifizierungsstelle (z. B. VeriSign) ausgegeben wird. Wenn das Zertifikat installiert ist, können Sie die Bereitstellungsautorisierungsrichtlinien bearbeiten.

Autorisierungsrichtlinien Mit TS CAP wird festgelegt, wer eine Verbindung zum Terminaldienstegateway herstellen kann, und angegeben, unter welchen Bedingungen Benutzer eine Verbindung aufbauen können. So können Sie z. B. angeben, dass eine Benutzergruppe, die auf dem lokalen Terminaldienstegatewayserver oder in Active Directory vorhanden ist, eine Verbindung zu einem Terminaldienstegateway herstellen kann, und dass Gruppenmitglieder Smartcards verwenden müssen.

Andererseits wird durch TS RAP festgelegt, auf welche internen Ressourcen Benutzer über das Terminaldienstegateway zugreifen können. Sie können beispielsweise eine Computergruppe (z. B. eine Farm von Terminalservern) erstellen und sie Ihren jeweiligen TS RAP zuordnen.

Sie müssen sowohl TS CAP als auch TS RAP erstellen, um Remotebenutzern Zugriff auf interne Ressourcen zu ermöglichen, da ein Benutzer die Bedingungen mindestens einer TS CAP und einer TS RAP erfüllen muss, um Zugriff zu erhalten. Administratoren können beide Typen mit dem Terminaldienstegateway-Manager erstellen, wie in Abbildung 8 und Abbildung 9 dargestellt.

fig08.gif

Abbildung 8 Erstellen einer Verbindungsauthorisierungsrichtlinie (zum Vergrößern auf das Bild klicken)

fig09.gif

Abbildung 9 Erstellen einer Ressourcenauthorisierungsrichtlinie (zum Vergrößern auf das Bild klicken)

Zusammen bieten TS CAP und TS RAP zwei verschiedene Arten der Autorisierung, durch die Sie die Konfigurierung der Zugriffssteuerung für Computer in einem internen Netzwerk feiner abstimmen können. Weitere Informationen finden Sie unter „Schrittweise Anleitung für das Terminaldienstegateway“ unter go.microsoft.com/fwlink/?LinkID=85872.

Terminaldienste-Sitzungsbroker

Das letzte Thema dieses Artikels ist der Sitzungsbroker, der eine einfach bereitzustellende, sitzungsbasierte Lösung zum Lastenausgleich bietet. Die Funktionalität ist auf den Sitzungsverzeichnisfunktionen von Windows Server 2003 aufgebaut, bei denen ein Benutzer eine Verbindung zu einer vorhandenen Sitzung wieder herstellte, wobei die Möglichkeit hinzugefügt wird, auf dem Server in der Farm mit der geringsten Last eine neue Sitzung zu erstellen.

Stellen Sie sich ein typisches Szenario vor, bei dem alle Terminalserver in einer Farm Hostressourceneinträge in DNS haben, die einem bestimmten Namen einer Terminalserverfarm zugeordnet sind, z. B. Farm1. Jeder Terminalserver in der Farm kann daher als Umleitung agieren und die anfänglichen Verbindungsanforderungen verarbeiten.

Angenommen, ein Benutzer startet einen RDC-Client und gibt eine Terminalserverfarm mit dem Namen Farm1 an. Der Client kontaktiert den DNS-Server, um den Namen Farm1 in eine IP-Adresse aufzulösen, und der DNS-Server, der für die Verwendung eines Roundrobin-Lastenausgleichs für die anfänglichen Verbindungsanforderungen konfiguriert ist, gibt eine Liste der IP-Adressen zurück, die für Farm1 registriert sind.

Der Client sendet die Verbindungsanforderung an die erste IP-Adresse auf der Liste, die vom DNS Server zurückgegeben wird. Der Terminalserver mit dieser Adresse agiert als Umleitung, die den Terminaldienste-Sitzungsbrokerserver abfragt, um zu bestimmen, bei welchem Terminalserver sich der Client anmelden sollte. Der Terminaldienste-Sitzungsbrokerserver überprüft seine Datenbank, und wenn für den Benutzer eine vorhandene Sitzung vorliegt, gibt der Sitzungsbroker die IP-Adresse dieses Terminalservers zurück. Wenn für den Benutzer keine vorhandene Sitzung verfügbar ist, bestimmt der Sitzungsbroker, welcher Terminalserver in der Farm die geringste Last (basierend auf der Anzahl der Sitzungen und der relativen Servergewichtung) aufweist, und gibt dann die IP-Adresse dieses bestimmten Servers zurück.

Die Umleitung sendet dem Client diese IP-Adresse, und der Client sendet dann die Verbindungsanforderung an diesen Server, der die Anmeldeanforderung verarbeitet und den Terminaldienste-Sitzungsbroker über die erfolgreiche Anmeldung benachrichtigt.

Beachten Sie, dass zwar eine beliebige Lastenausgleichsmethode zur Verteilung der anfänglichen Verbindungen verwendet werden kann, DNS Roundrobin aber der am einfachsten bereitzustellende Mechanismus ist. Seien Sie sich aber bewusst, dass DNS Roundrobin einige Einschränkungen aufweist, einschließlich das Zwischenspeichern der DNS-Anforderungen auf dem Client, was dazu führen kann, dass Clients dieselbe IP-Adresse für jede anfängliche Verbindungsanforderung verwenden, sowie eine mögliche Timeoutverzögerung von 30 Sekunden, wenn ein Benutzer zu einem Terminalserver umgeleitet wird, der offline, aber immer noch in DNS aufgelistet ist.

Durch eine Bereitstellung des Lastenausgleichs des Terminaldienste-Sitzungsbrokers mit einer Lastenausgleichslösung auf Netzwerkebene, z. B. NLB oder ein Hardwarelastenausgleich, lassen sich die Einschränkungen von DNS vermeiden, während weiterhin die Features des Terminaldienste-Sitzungsbrokers genutzt werden können. Mit dem Lastenausgleichs-Feature des Terminaldienste-Sitzungsbroker können Sie jedem Server einen relativen Gewichtungswert zuweisen, was dabei hilft, die Last zwischen leistungsfähigeren und weniger leistungsfähigen Servern in der Farm zu verteilen. Wenn Sie z. B. einen Server haben, der zweimal so viel Sitzungen handhaben könnte wie ein anderer Server in der Farm, würden Sie diesem Server eine Gewichtung von 200 im Vergleich zum anderen Server mit der Gewichtung von 100 geben.

Beim Lastenausgleich mit dem Terminaldienste-Sitzungsbroker gilt eine Beschränkung von maximal 16 ausstehenden Anmeldeanforderungen für einen einzelnen Terminalserver. Dieses Feature verhindert, dass ein einziger Server mit neuen Anmeldeanforderungen überwältigt wird, wenn Sie z. B. der Farm einen neuen Server hinzufügen, oder wenn Sie Benutzeranmeldungen auf einem Server ermöglichen, auf dem diese zuvor verweigert wurden.

Außerdem wird ein neuer „Serverableitungs“-Mechanismus bereitgestellt, mit dem Sie verhindern können, dass sich neue Benutzer bei einem Terminalserver anmelden, der zu Wartungszwecken heruntergefahren werden soll. Wenn auf einem bestimmten Terminalserver neue Anmeldungen verweigert werden, ermöglicht es der Terminaldienste-Sitzungsbroker Benutzern mit vorhandenen Sitzungen, wieder eine Verbindung herzustellen, leitet aber neue Benutzer zu Terminalservern um, die für neue Anmeldungen konfiguriert sind.

Weitere Informationen finden Sie unter „Schrittweise Anleitung für den Lastenausgleich des Terminaldienste-Sitzungsbrokers“ unter go.microsoft.com/fwlink/?LinkID=92670. Weitere Ausführungen zu den neuen Features von Windows Server 2008-Terminaldiensten sind im Rahmen dieses Artikels nicht möglich. Sie finden allerdings eine Vielzahl von Informationen, einschließlich detaillierter Webcasts, auf der Terminaldienste-Website. Weitere Einzelheiten finden Sie unter technet.microsoft.com/ts.

Joshua Schnoll verfügt über mehr als 15 Jahre Erfahrung in den Bereichen Marketing und Technologie und hat sich in den letzten sechs Jahren auf serverbasiertes Computing konzentriert. Er ist Senior Product Manager für Windows Server-Terminaldienste weltweit. Bevor Joshua Schnoll seine Tätigkeit bei Microsoft aufnahm, arbeitete er in mehreren Positionen bei Sun Microsystems, unter anderem im Produktmarketing für Sun Ray Ultra-Thin Clients .