Windows Server 2008

Virtualización de presentación con Servicios de Terminal Server mejoradas

Joshua Schnoll

 

En resumen:

• Nuevas características de Servicios de Terminal Server de Windows Server 2008
• Uso de puerta de enlace de Terminal Server para acceso remoto
• Equilibrio de carga con Broker de sesión de Terminal Server

Contenido

Novedades de Servicios de Terminal Server
Características de seguridad
Características de la experiencia de usuario
Más fácil de acceso remoto
Puerta de enlace de Terminal Services
El Broker de sesión de Terminal Server

La virtualización es un término activo en estos días, aunque la mayoría de las personas de tiempo Cree que se relaciona únicamente a máquinas virtuales y de la virtualización de sistemas operativos. Través de la sin embargo, los servicios de Terminal Server ha sido extracción la capa de presentación de la ejecución remota de aplicaciones y equipos de escritorio desde el lanzamiento de Windows NT 4.0. Los servicios de Terminal Server ha llegado un largo camino desde ese momento y Windows Server 2008 ofrece una plataforma de virtualización de presentación para adultos y eficaz. Centraré las áreas clave de mejora de los servicios de Terminal Server.

Novedades de Servicios de Terminal Server

Servicios de Terminal Server en Windows Server 2008 tiene muchas nuevas características y capacidades:

RemoteApp de Servicios de Terminal Server Uno de los grandes cambios en Windows Server 2008 es la capacidad para una única aplicación remoto. En versiones anteriores de los servicios de Terminal Server, el escritorio remoto completo se transmite, incluso si sólo desea tener acceso a una sola aplicación. A menudo era confuso para los usuarios porque algunas aplicaciones aparecieron en el escritorio remoto (a través de Servicios de Terminal Server) y algunas en el escritorio local, y recordar qué escritorio tenía la aplicación que podría ser difícil. Ahora, las aplicaciones que se tiene acceso a través de los servicios de Terminal Server busque y se comportan como si estaban ejecutando en el equipo local del usuario final.

acceso Web de Servicios de Terminal Server Alto de todos los usuarios lista deseo era una manera sencilla para los usuarios finales iniciar aplicaciones. TS Web Access satisface esa necesidad permite a los administradores publicar las aplicaciones individuales a una página Web. TS Web Access incluye una página de Web de predeterminada que puede implementarse derecha fuera del cuadro de la, pero también puede ser personalizado y integrado en un sitio de SharePoint. Para iniciar un RemoteApp de Terminal Server con TS Web Access, el usuario visita una página Web (a la que se obtiene acceso ya sea de Internet o intranet), verá una lista de todas las aplicaciones disponibles y hace clic en la que desea iniciar.

En Windows Server 2003, se requería un control de ActiveX independiente denominado la conexión de Web de escritorio remoto (RDWC) para habilitar una conexión desde un explorador. Ahora el control se ha creado hacia la derecha en el cliente de conexión de escritorio remota (RDC) principal, por lo que no hay nada es necesario se descargar o instalar en el cliente. Además, se admite el conjunto completo de características de Protocolo de escritorio remoto (RDP), que no era el caso del antiguo cliente RDWC.

puerta de enlace de Terminal Services Puerta de enlace de Terminal Server es una de las nuevas características más importantes de Windows Server 2008. Tráfico RDP se ejecuta a través del puerto 3389 y uno de los administradores de los problemas principales tenía al implementar un servidor de terminal server en otros usuarios ubicados fuera del firewall se tener que bien abrir ese puerto en el servidor de seguridad (no recomendado) o utilizar una solución VPN independiente (costosa). Con la puerta de enlace de Terminal Server, el tráfico RDP se túnel a través de HTTPS (puerto 443) para establecer una conexión cifrada entre los usuarios remotos en Internet y el servidor de terminal server (o equipo remoto). Aún mejor, el escenario de gran funciona incluso si el usuario o servidor de terminal server se encuentra tras un enrutador basado el recorrido de red dirección de traducción (NAT, Network Address TRANSLATION).

Puerta de enlace de Terminal Server se puede junto con otra característica de Windows Server 2008, protección de acceso A redes (NAP), para ayudar a garantizar el estado de los equipos cliente antes de conceder acceso a los recursos de Servicios de Terminal Server.

Broker de sesión de Servicios de Terminal Server Windows Server 2000 introdujo equilibrio de la carga en la red (NLB) y, aunque funciona realmente bien para los servidores Web, no ideal para equilibrio de carga Terminal Services. El nuevo Broker de sesión de Terminal Server proporciona una alternativa gran expandiendo las capacidades de directorio de sesión de Windows Server 2003 para habilitar equilibrio de carga session-based.

Con Broker de sesión de Terminal Server, nuevas sesiones se distribuyen en el servidor menos carga en el conjunto de servidores y los usuarios no tienen que conocer donde se estableció una sesión para volverse a conectar a una sesión existente. Los administradores de TI pueden utilizar la característica para asignar la dirección IP de cada servidor de Terminal Server a una única entrada DNS. Esta configuración también puede proporcionar tolerancia a errores; si uno de los servidores del conjunto de servidores no está disponible, los usuarios se conectarse al servidor menos carga siguiente en el conjunto de servidores.

Easy Print de Terminal Services Impresión ha sido tradicionalmente la plaga de existencia de muchos un administrador en un entorno de Servicios de Terminal Server. Con coincidencia de controladores de impresión requeridos en servidor y los equipos cliente, los usuarios finales era menor flexibilidad para instalar impresoras, mientras que los administradores tenían que preocuparse de administrar controladores de impresión en el servidor. Con Terminal Server fácil imprimir, en cambio, los usuarios ahora pueden confiable imprimir desde Terminal Server RemoteApp o una sesión de escritorio completo a un dispositivo de impresión local, si está conectado directamente o a través de una red. La mejor parte es que las impresoras ahora se pueden admite sin que sea necesario instalar controladores en el servidor de terminal server.

Cuando un usuario desea imprimir desde un programa de Terminal Server RemoteApp o sesión de escritorio, se ve el impresora completa las propiedades de cuadro de diálogo desde el cliente local y tienen acceso a toda la funcionalidad impresora (como las marcas de agua, intercalación y grapado). Cuando el usuario imprime, el trabajo de impresión se procesa con el formato de archivo XPS de Microsoft en el servidor y se envía al cliente. Además, con Easy Print de Terminal Server, los administradores pueden utilizar Directiva de grupo para limitar el número de impresoras redirigido a la impresora de predeterminada, con lo que reduce la sobrecarga y mejorar la escalabilidad.

Los son las características "vale grande" en Windows Server 2008. Terminal Server RemoteApp, TS Web Access, puerta de enlace de Terminal Server y Broker de sesión de Terminal Server se se vuelve más adelante en este artículo. En primer lugar, echemos un vistazo en algún otro gran pero menos características visibles en esta versión.

Características de seguridad

Seguridad ha sido beefed hacia arriba en la nueva versión de Servicios de Terminal Server.

autenticación de nivel de red (NLA) y autenticación de servidor (SA) Con las versiones anteriores de Terminal Server, un ataque de denegación de servicio o de intermediario podría ha iniciar en la pantalla de inicio de sesión de terminal server, como los usuarios se presentaron con la pantalla de inicio de sesión al hacer clic en Conectar en el cliente RDC. Ahora NLA autentica el usuario, equipo cliente y las credenciales de servidor con entre sí antes de que se marcha una sesión de Terminal Server en el servidor y la pantalla de inicio de sesión se presenta al usuario. Autenticación del servidor utiliza seguridad de nivel de transporte (TLS) para ayudar a garantizar que los clientes se conecta a un servidor de Terminal Server legítimo y no algún equipo malicioso.

Inicio de sesión único Los usuarios desean poder utilizar un conjunto de credenciales (una combinación de contraseña de usuario o una tarjeta inteligente y NIP combinación) para autenticar sólo una vez y no se le pida una y otra vez para obtener esas credenciales cada vez que desea utilizar un nuevo recurso. Con esta versión, equipos unidos a un dominio que ejecutan Windows Vista o Windows Server 2008, conectarse a un servidor de Terminal Server de Windows Server 2008-basado o puerta de enlace de Terminal Server, ahora pueden utilizar el inicio de sesión único.

para reforzar el nivel de sistema Tanto Windows Vista y Windows Server 2008 tienen nuevo Refuerzo de nivel de sistema, que básicamente modularizes los componentes del sistema operativo y los ejecuta en los niveles de privilegios inferiores. En Servicios de Terminal Server, esta característica se implementó dividiendo el motor de Terminal Server (termsrv.dll) principal en dos componentes independientes (lsm.exe, el Administrador de sesión principal y termsrv.dll para la conectividad remota).

Anteriormente, termsrv.dll se ejecutaba en el nivel más alto de privilegios del sistema. Ahora, sólo un tercio del código termsrv.dll original se ejecuta en ese nivel en el nuevo lsm.exe; el resto dos tercios ejecutar en el mucho menor red privilegio de nivel de servicio. Este cambio reduce considerablemente la superficie de ataque comparada con Windows Server 2003.

Características de la experiencia de usuario

Una serie de mejoras ayudar a los usuarios:

Soluciones de presentación personalizado Con el crecimiento expansivos de monitores de gran tamaño y una mayor variedad de las proporciones de resolución de pantalla, Servicios de Terminal Server de Windows Server 2008 los pasos hacia arriba para satisfacer sus necesidades.

El usuario final tiene capacidad para establecer resoluciones de pantalla personalizado (hasta 4096 x 2048) o cambiar las proporciones a 16: 9 o 16:10 para obtener una experiencia wide­screen. Pueden admitir todos los tipos de nuevas configuraciones de monitor, tales como monitores con resoluciones de 1680 x 1050 o 1920 x 1200. Esto es una gran mejora sobre Windows Server 2003, que admite una resolución máxima de 1600 x 1200 y sólo 4: 3 mostrar resoluciones proporción. Puede establecer una resolución de pantalla personalizado en el cuadro de diálogo cliente RDC, en un archivo .RDP, o desde un símbolo del sistema.

<value>Para establecer una resolución de pantalla personalizado en un archivo .RDP, abrir el archivo .RDP en un editor de texto y agregar o cambiar los valores siguientes (tenga en cuenta que <valor> es la resolución, como 1680 o 1050):

desktopwidth:i:<value>
desktopheight:i:<value>

Para establecer una resolución de pantalla personalizado desde un símbolo del sistema, utilice el comando mstsc.exe con la sintaxis siguiente (tenga en cuenta que <width> y <height> son la resolución, como 1680 o 1050):

mstsc.exe /w:<width> /h:<height>

tipo de monitor Las sesiones de escritorio remotas ahora se pueden abarcar varios monitores. Existen unos requisitos previos para esta característica funcione correctamente:

• Todos los monitores, deben utilizar la misma resolución. Por ejemplo, se pueden ocupa dos monitores mediante 1024 x 768 ". Pero no se ocupa un monitor en monitor 1024 x 768 y uno en 800 x 600.
• Todos los monitores deben estar alineados horizontalmente (es decir, de forma simultánea). No hay actualmente ninguna compatibilidad para usa múltiples monitores verticalmente en el sistema cliente.
• La resolución total entre todos los monitores no puede superar la resolución máxima de 4096 x 2048.

Para habilitar el monitor de expansión en un archivo .RDP, abrir el archivo .RDP en un editor de texto y agregar o cambiar los valores siguientes (Nota: si <valor> = 0, monitor abarcan está deshabilitado si <valor> = 1, está habilitado):

Span:i:<value>

Para establecer el monitor que abarcan desde un símbolo del sistema, utilice el comando mstsc.exe con la sintaxis siguiente:

mstsc.exe /span

experiencia de escritorio Experiencia de escritorio hace un escritorio de los servicios de Terminal Server mucho más que la experiencia de escritorio de Windows Vista. Esta característica añade una serie de componentes en el escritorio remoto, incluidos el Reproductor de Windows Media 11, los temas de escritorio y administración de fotos. Del siguiente modo habilitar la experiencia de escritorio:

1. Abra el Administrador de servidor. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de servidores.
2. En el resumen de las características, haga clic en Agregar características.
3. En la página Seleccionar características, active la casilla de verificación experiencia de escritorio y, a continuación, haga clic en Siguiente.
4. En la página Confirmar opciones de instalación, compruebe que la característica de experiencia de escritorio se instalará y haga clic en Instalar.
5. En la página de resultados de la instalación, se pide que reinicie el servidor termine el proceso de instalación. Haga clic en Cerrar y, a continuación, haga clic en Sí para reiniciar el servidor.

Una vez reiniciado el servidor, a continuación, debe confirmar que está instalada la característica de experiencia de escritorio.

suavizado de fuentes Suavizado de fuentes es el nombre de soporte de servicios de Terminal Server de ClearType, que las fuentes de pantalla equipo ayuda a más claramente, especialmente en un monitor LCD supervisar. Suavizado de fuentes está habilitado de forma predeterminada en Windows Server 2008, y puede habilitarse cuando un equipo cliente se conecta a través de una casilla de verificación de la conexión a escritorio remoto, como se muestra en la figura 1 .

Figura 1 el suavizado de fuentes de habilitar

Debe tener en cuenta que el suavizado de fuentes aumenta el ancho de banda (de 4 a 10 veces, según la situación de ejemplo) usado entre el equipo cliente y el servidor de terminal server. Este aumento de ancho de banda se produce porque las fuentes de ClearType son remotos como mapas de bits en lugar de glifos que RDP se controla de forma mucho más eficaz.

Mostrar asignación de prioridades A datos Con Windows Server 2003, imprimir un trabajo de gran tamaño podían con frecuencia realizar su pantalla sufrir experiencia. Establecimiento de prioridades de datos de pantalla controla automáticamente el tráfico de canal virtual así que mostrar, teclado, y datos del mouse (ratón) se le asigna una prioridad mayor sobre otro tráfico, como las transferencias de impresión o el archivo. Esta asignación de prioridades se diseñado en orden para garantizar que la pantalla, teclado y mouse (ratón) rendimiento no se ve afectado por las acciones que hacen un uso intensivo del ancho de banda, como grandes trabajos de impresión.

Fuera del cuadro, el valor es 70:30. Presentación y entrada de datos se asignan 70 % del ancho de banda mientras el resto del tráfico, como las transferencias de archivos o los trabajos de impresión, se asignarán 30 por ciento.

Puede ajustar la configuración haciendo cambios en el registro del terminal server. Para ello, cambie el valor de las entradas siguientes en la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Ser­vices\Term­DD:

FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression

Si no aparecen estas entradas, puede agregarlos haciendo clic con el botón secundario en TermDD, elija Nuevo y, a continuación, haga clic en DWORD (32 bits) valor.

Puede deshabilitar el establecimiento de prioridades de datos de pantalla, establezca el valor de FlowControl­Disable = 1. Si el establecimiento de prioridades de datos de pantalla está deshabilitado, todas las solicitudes se controlan de forma primero en primer lugar fuera. El valor predeterminado de FlowControlDisable = 0.

Puede establecer la prioridad relativa de ancho de banda para mostrar (y datos de entrada) estableciendo el valor FlowControlDisplayBandwidth. El valor predeterminado es 70; el valor máximo permitido es 255. Asimismo, puede establecer la prioridad relativa de ancho de banda para otros canales virtuales (como Portapapeles, transferencias de archivos o los trabajos de impresión) estableciendo el valor FlowControlChannelBandwidth. El valor predeterminado es 30; el valor máximo permitido es 255.

La proporción de ancho de banda de establecimiento de prioridades de datos de pantalla se basa en los valores de FlowControlDisplayBandwidth y FlowControlChannelBandwidth. Por ejemplo, si se establece FlowControlDisplayBandwidth a 150 y FlowControlChannelBandwidth se establece en 50, la relación es 150:50. Como consecuencia de esto, presentación y datos de entrada se asignará un 75 % del ancho de banda.

El valor de FlowControlChargePostCompression determina si control de flujo calculará la asignación de ancho de banda basada en el anterior, o post-compression bytes. El valor predeterminado es 0, lo que significa que el cálculo se realizarán en pre-compression bytes.

Si realiza cambios en los valores del registro, es necesario reiniciar el servidor Terminal Server para que los cambios surtan efecto.

redirección de dispositivos Plug and Play En Windows Server 2008 Terminal Services, redirección de dispositivos se ha mejorado y expandido. Ahora puede redirigir Windows dispositivos portátiles, específicamente los reproductores multimedia basados en el Protocolo de transferencia multimedia (MTP) y cámaras digitales basadas en el Protocolo de transferencia de imágenes (PTP).

Se puede habilitar esta funcionalidad con el botón Opciones de la conexión a escritorio remoto. Cuando está habilitada, se mostrará una lista de dispositivos Plug and Play compatibles que están actualmente conectados hacia arriba. Dispositivos no compatibles no aparecerán. También puede seleccionar la opción para redirigir los dispositivos que han no se ha conectado en aún. Figura 2 muestra cómo habilitar estos desde el cliente RDC.

La Figura 2 Permitir dispositivos que aún no están conectados

Cuando se inicia la sesión en el equipo remoto, debe ver el dispositivo Plug and Play que se redirige automáticamente obtener instalado en el equipo remoto, las notificaciones de Plug and Play aparecerá en la barra de tareas. Después de instala el dispositivo Plug and Play redirigida, está disponible para su uso en la sesión con el equipo remoto. Por ejemplo, si se redirige un dispositivo portátil de Windows como una cámara digital, se puede obtener acceso a directamente desde una aplicación, como el Asistente la para escáneres y cámaras en el equipo remoto.

Puede controlar la redirección de dispositivos Plug and Play mediante cualquiera de las siguientes opciones de directiva de grupo:

• No permitir redirección de dispositivos Plug and Play compatibles situado en equipo Configuración del equipo\Plantillas administrativas\Componentes Windows\Terminal Services\Terminal Server\Device y redirección de recursos.
• La configuración de directiva ubicada en el equipo Configuración del equipo\Plantillas administrativas\Sistema\Instalación Installation\Device restricciones de instalación.

También puede controlar redirección de dispositivos Plug and Play en la ficha Configuración de cliente en la herramienta Configuración de Terminal Services (tsconfig.msc) mediante el uso de la casilla de verificación admite Plug and Play de dispositivos.

Más fácil de acceso remoto

He mencionado anteriormente que RemoteApp de Terminal Server permite a los usuarios remotos una única aplicación y TS Web Access permite acceso fácilmente a las aplicaciones desde una página Web; ahora tienen examinemos un poco más de cerca en estas características y en algunos de los detalles de configuración.

RemoteApp de Terminal Server Programas de RemoteApp pueden implementarse en escritorios de usuario a través de una variedad de métodos. Junto con TS Web Access, también puede:

• Crear un archivo de Protocolo de escritorio remoto.
• Crear un icono de programa en el escritorio o inicio menú mediante un paquete de Windows Installer (.msi) distribuido anteriormente.
• Ejecutar un archivo que está asociada un programa de RemoteApp de la extensión de nombre de archivo. Esto se puede configurar el administrador de un paquete de Windows Installer.

Para obtener más información sobre cómo los usuarios pueden tener acceso a programas de RemoteApp, vea " debe cómo implementar programas de RemoteApp? " en la Windows Server 2008 Terminal Server Remote­App guía detallada en go.microsoft.com/fwlink/?LinkID=84895.

TS Web Access Acceso Web de Terminal Server permite la implementación de programas de RemoteApp de un único servidor o un conjunto de servidores de Terminal Server. El administrador de RemoteApp de Terminal Server proporciona un proceso muy rápido y eficaz para la publicación de aplicaciones TS Web Access, en primer lugar instalar los Servicios de Terminal Server, a continuación, se instalan las aplicaciones que desea host.

Utilice el Administrador de Terminal Server RemoteApp para agregar programas Remote­App que están habilitados para TS Web Access. A continuación, instale TS Web Access en el servidor al que desea que los usuarios se conecten a través de Internet. Agregar la cuenta de equipo del servidor de acceso Web de TS al grupo equipos de acceso Web de Terminal Server en el servidor de terminal server. Por último, configurar el servidor de TS Web Access para rellenar la lista de programas de RemoteApp de un único servidor de Terminal Server o un conjunto único.

Una vez que las aplicaciones se han instalado mediante el método tradicional o entregados al terminal server con la virtualización de aplicaciones (anteriormente conocido como SoftGrid), es muy sencillo publicar las aplicaciones a TS Web Access. El Asistente para Remote­App guía al administrador por unos pocos pasos fáciles y rápidos y las aplicaciones a continuación, aparecen en la lista de programas Remote­App publicados.

De forma predeterminada, las aplicaciones se publicarán en TS Web Access. El administrador de RemoteApp le mostrará una lista de aplicaciones que se han publicado y todas las aplicaciones que están disponibles para los usuarios a través de TS Web Access.

Ahora vamos a eche un vistazo rápido a la experiencia del usuario final de fábrica. La primera ficha de TS Web Access muestra los iconos de todas las aplicaciones que se publican (consulte la figura 3 ); la segunda ficha permite a los usuarios conectarse a un equipo de escritorio específico mediante el front-end Web. Como se indicó anteriormente, esta interfaz Web es totalmente personalizable y el "Terminal Server Web Access Step-by-Step Guía: personalizar Terminal Server Web Access por con Windows SharePoint Services," disponible en go.microsoft.com/fwlink/?LinkID=111241, es un recurso excelente que le guiará a través de una personalización con SharePoint Services.

La figura 3 configuración de entrada de los archivos RDP (haga clic en la imagen de una vista más grande)

otros métodos de implementación Además de utilizar TS Web Access, puede implementar programas de RemoteApp con archivos de RDP o paquetes de Windows Installer. Los paquetes se pueden distribuir a través del uso compartido de archivos o a través de Active Directory de Microsoft Systems Center Operations Manager o distribución de software. En la sección siguiente le guiará por los pasos principales para crear los paquetes correcto para la distribución de aplicaciones.

Para preparar programas de RemoteApp para su distribución a través de un recurso compartido de archivos o algún otro mecanismo de distribución, debe instalar los Servicios de Terminal Server y las aplicaciones que desea publicar y comprobar la configuración de conexión remota. El Asistente para RemoteApp de Terminal Server le ayudará a agregar programas de RemoteApp y configurar opciones de implementación global. A continuación, puede crear archivos RDP o paquetes de Windows Installer.

Vamos a recorra rápidamente el Asistente para Remote­App. En el paso 1, configurar el Terminal Server, puerta de enlace de Terminal Server y certificados para los archivos RDP (consulte la figura 4 ).

La figura 4 opciones de configuración para el paquete de programa (haga clic en la imagen de una vista más grande)

En el paso 2, especificar dónde se mostrará los iconos de acceso directo en el escritorio o inicio menú y asociar cliente extensiones de archivo para que los archivos locales se iniciará con la Remote­App (consulte la La figura 5 ).

La figura 5 programas de RemoteApp de visualización de TS Web Access (haga clic en la imagen de una vista más grande)

En el paso final, RemoteApp abrirá el Asistente para la carpeta programas empaquetado por lo que puede implementar fácilmente estas aplicaciones empaquetadas a equipos cliente con el software de distribución de su elección (consulte la Figura 6 ).

Figura 6 programas empaquetan para implementación (haga clic en la imagen de una vista más grande)

Puerta de enlace de Terminal Services

Ahora voy a examinar cómo puede ayudar puerta de enlace de Terminal Server los usuarios remotos obtienen acceso a las aplicaciones, datos o equipos de escritorio desde fuera del servidor de seguridad. Figura 7 se muestra en un nivel muy alto el escenario típico para implementar la puerta de enlace de Terminal Server para proporcionar acceso a los usuarios a través de Internet.

La figura 7 trabajo conectar desde equipo portátil en casa a una red corporativa (haga clic en la imagen de una vista más grande)

En esencia, la puerta de enlace de TS se encuentra en el perímetro de red y los túneles el tráfico RDP a través de HTTPS. O bien, se puede colocar un terminador SSL (como seguridad de Internet de Microsoft y Acceleration Server, ISA) en el perímetro de red y reenviar el tráfico RDP entrante a la puerta de enlace TS en la otra cara.

Éstos son los pasos que se ilustra en La figura 7 :

1. Un usuario en un equipo portátil principal puede conectarse a través de Internet haciendo clic en un archivo RDP o un RemoteApp de icono de programa encuentra en el escritorio, en el icono de un RemoteApp de Terminal Server se publica a través de TS Web Access, o abriendo el cliente de conexión a escritorio remoto.
2. Un túnel SSL se establece entre el equipo principal y los servidores Terminal Server con certificado SSL del servidor de puerta de enlace de Terminal Server. Antes de establecer una conexión, el usuario debe autenticarse y autorizado según para directivas de autorización de conexión de los servicios de Terminal Server (CAP de Terminal Server) y directivas de autorización de recursos de los servicios de Terminal Server (RAP de Terminal Server). Una vez que las directivas de la RAP de Terminal Server y el punto de acceso de cliente Terminal Server (descrito a continuación) se aplica, el usuario puede abrir una sesión.
3. El equipo portátil principal intercambia paquetes RDP cifrados encapsulan dentro de SSL con la puerta de enlace de Terminal Server a través del puerto 443. La puerta de enlace de TS reenvía los paquetes RDP en terminal server a través del puerto 3389.

Puede crear un conjunto de servidores de puerta de enlace de Terminal Server servidores para instalaciones grandes, pero se necesita una solución independiente (como NLB o un equilibrador de carga de otros fabricantes) para equilibrar la carga entre los sistemas de servidor del conjunto de servidores. El Broker de sesión de Terminal Server no controla equilibrio de carga para servidor TS Gateway.

Ahora echemos un vistazo rápido a cómo implementar esta funcionalidad. En pocas palabras, deberá obtener y configurar un certificado para el servidor de puerta de enlace de Terminal Server y crear los dos tipos de directivas de autorización que he mencionado anteriormente: punto de acceso de cliente Terminal Server y Terminal Server RAP.

obtener un certificado Puede usar un certificado existente o solicitar una nueva. Un certificado válido es necesario para la puerta de enlace TS a función y tiene la opción durante la instalación para importar un certificado o crear un certificado con firma personal.

La opción con firma personal es una buena si está realizando las pruebas internas, pero correcta implementación requiere un certificado emitido por una entidad emisora de certificados empresariales (como VeriSign). Una vez que tenga el certificado instalado, puede, a continuación, considerar su implementación las directivas de autorización.

las directivas de autorización CAP de Terminal Server determinan quién puede conectarse a la puerta de enlace de TS y especificar en lo que los usuarios de las condiciones pueden conectarse. Por ejemplo, puede especificar que un grupo de usuario que existe en el servidor de puerta de enlace de Terminal Server local o en Active Directory puede conectarse a una puerta de enlace de Terminal Server y que los miembros de grupo debe utilizar tarjetas inteligentes.

RAPs de Terminal Server, por otro lado, determinan qué recursos internos que los usuarios pueden tener acceso a través de la puerta de enlace de TS. Por ejemplo, puede crear un grupo de equipo (como un conjunto de servidores de Terminal Server) y asociarlo a su RAP de Terminal Server.

Se necesita para crear los CAP de Terminal Server y RAPs de Terminal Server para otorgar a remotos usuarios acceso a recursos internos, como un usuario deberá cumplir las condiciones de al menos un CAP de Terminal Server y una RAP de Terminal Server para tener acceso. Los administradores pueden crear dos tipos mediante el Administrador de puerta de enlace de Terminal Server, como se muestra en figura 8 y 9 de figura .

Figura 8 crear una directiva de autorización de conexión (haga clic en la imagen de una vista más grande)

Figura 9 crear una directiva de autorización de recursos (haga clic en la imagen de una vista más grande)

Juntos, CAP de Terminal Server y Terminal Server RAPs proporcionan dos tipos diferentes de autorización que permiten configurar un nivel más un optimizada de control de acceso a los equipos de una red interna. Para obtener más información, vea " Terminal Server servicios de puerta de enlace Step-by-Step Guide" en go.microsoft.com/fwlink/?LinkID=85872.

El Broker de sesión de Terminal Server

El tema último que me gustaría tratar es el Broker de sesión, que proporciona una solución fácil de implementar, basada en sesión, equilibrio de carga. La funcionalidad se basa en las funciones de directorio de sesión de Windows Server 2003 que se volvieron a conectar a una sesión existente, un usuario y se agrega la capacidad de crear una nueva sesión en el servidor menos carga en el conjunto de servidores.

Veamos un escenario típico en que todos los servidores de Terminal Server en un conjunto de tener registros de recursos de host en DNS que se asignan a un nombre de conjunto de servidores de servidor de Terminal Server determinado, diga Farm1. Cualquier servidor Terminal Server en el conjunto de servidores, por tanto, puede actuar como un redirector y procesar las solicitudes de conexión inicial.

Supongamos que un usuario inicia un cliente RDC, que especifica un conjunto de servidores de Terminal Server con nombre Farm1. El cliente pone en contacto con el servidor DNS para resolver el nombre Farm1 en una dirección IP, y el servidor DNS, que está configurado para usar operación por rondas para equilibrar la carga de las solicitudes de conexión inicial, devuelve una lista de direcciones IP que están registrados para Farm1.

El cliente envía la solicitud de conexión a la primera dirección IP en la lista que es devuelto por el servidor DNS. El servidor de Terminal Server con esa dirección actúa como el redirector, consultar el servidor Broker de sesión de Terminal Server para determinar qué servidor de Terminal Server el cliente debe iniciar sesión en. El servidor de Terminal Server sesión Broker comprueba su base de datos y si el usuario tiene una sesión existente, sesión Broker devuelve la dirección IP de dicho servidor Terminal Server. Si el usuario no tiene una sesión existente, sesión Broker determina qué servidor Terminal Server en el conjunto de servidores tiene la menor carga (en función del número de sesiones y el valor de peso relativo de servidor) y, a continuación, devuelve la dirección IP de dicho servidor concreto.

El redirector envía el cliente de esa dirección IP y a continuación, el cliente envía la solicitud de conexión a ese servidor, que procesa la solicitud de inicio de sesión y se lo comunica Broker de sesión de Terminal Server de inicio de sesión correcto.

Tenga en cuenta que mientras que cualquier mecanismo de equilibrio de carga se puede utilizar para distribuir las conexiones iniciales, DNS turnos es el mecanismo más sencillo para implementar. Sin embargo, ser conscientes que DNS por turnos tiene algunas limitaciones, incluido el almacenamiento en caché de peticiones de DNS en el cliente, que puede producir los clientes que usan la misma dirección IP para cada solicitud de conexión inicial, y la posibilidad de un retardo de tiempo de espera de 30 segundos si un usuario se redirige a un servidor de terminal server que está sin conexión pero aún aparecen en DNS.

Implementación de Terminal Server sesión Broker el equilibrio de la carga en la con una solución de equilibrio de carga nivel de red como NLB o un equilibrador de carga de hardware evita las limitaciones de DNS al aún aprovechar las características del Broker de sesión de Terminal Server. La característica de equilibrio de carga del Broker de sesión de Terminal Server permite asignar un valor de peso relativo a cada servidor, lo que ayuda a distribuir la carga entre más eficaz y menos eficaces servidores del conjunto. Por ejemplo, conceder si tuviera un servidor que puede controlar dos veces como demasiadas sesiones como otro servidor en el conjunto de servidores, podría a ese servidor un peso 200 con respecto a la otra en 100.

Sesión de Terminal Server Broker equilibrio de carga conjuntos en la que solicita un límite de 16 para el número máximo de pendiente de inicio de sesión a un determinado servidor de terminal. Esta característica ayuda a evitar sobrecargar un único servidor con solicitudes de inicio de sesión de nuevo cuando, por ejemplo, agrega un nuevo servidor al conjunto de servidores o cuando se habilita inicios de sesión de usuario en un servidor donde había anteriormente denegados.

Además, un nuevo mecanismo de "servidor agotar" es siempre permite impedir que los nuevos usuarios iniciar sesión en un terminal server que está programado para realizarse hacia abajo por motivos de mantenimiento. Si se denegarán inicios de sesión de nuevos en un servidor Terminal Server determinado, Broker de sesión de Terminal Server permitirá usuarios con sesiones existentes para volver a conectarse, pero redirigirá nuevos usuarios a terminal servers que se han configurado para permitir inicios de sesión de nuevo.

Para obtener más información, vea "Terminal Server sesión Broker carga equilibrio de la Step-by-Step Guide" en go.microsoft.com/fwlink/?LinkID=92670. No hay suficiente espacio aquí para mí hablar más acerca de las nuevas características de Terminal Server de Windows Server 2008. Sin embargo, es mucho más contenido, incluyendo webcasts detalladas, en el sitio Web de Servicios de Terminal Server. Para obtener más información, debe central a través de a technet.microsoft.com/ts.

Joshua Schnoll tiene más de 15 años de marketing y tecnología experiencia, centra los últimos años 6 en equipos basados en servidor. Él es director del producto en todo el mundo de servicios de Terminal Server de Windows Server jefe. Antes de que llega al Microsoft, mantiene distintas posiciones con Sun Microsystems, incluyendo conducción marketing de producto para los clientes ultra-thin Ray de Sun.