Windows Server 2008

Virtualização de apresentação com os Serviços de Terminal aprimorados

Joshua Schnoll

Visão geral:

• Novos recursos nos Serviços de Terminal do Windows Server 2008
• Usando o Gateway TS para acesso remoto
• Balanceamento de carga com o Agente de Sessão TS

Sumário

O que há de novo nos Serviços de Terminal
Recursos de segurança
Recursos da experiência do usuário
Acesso remoto facilitado
Gateway dos Serviços de Terminal
Agente de Sessão TS

A virtualização é um termo em voga no momento, embora, quase sempre, as pessoas pensem que ele se relaciona apenas a máquinas virtuais e à virtualização de sistemas operacionais. Entretanto, os Serviços de Terminal abstraem a camada de apresentação de aplicativos e desktops de execução remota desde o lançamento do Windows NT 4.0. Os Serviços de Terminal percorreram um longo caminho desde então, e o Windows Server 2008 oferece uma plataforma de virtualização de apresentação madura e robusta. Falarei sobre as áreas de aprimoramento principais dos Serviços de Terminal.

O que há de novo nos Serviços de Terminal

Os Serviços de Terminal do Windows Server 2008 apresentam diversos recursos novos:

RemoteApp dos Serviços de Terminal Uma das grandes alterações no Windows Server 2008 é a capacidade de tornar remoto um único aplicativo. Nas versões anteriores dos Serviços de Terminal, a área de trabalho remota inteira era transmitida, mesmo que você quisesse acessar apenas um aplicativo. Isso, muitas vezes, confundia os usuários porque alguns aplicativos apareciam na área de trabalho remota (por meio dos Serviços de Terminal) e outros na área de trabalho local, e lembrar-se de qual área de trabalho tinha um determinado aplicativo era complicado. Agora, os aplicativos acessados por meio dos Serviços de Terminal parecem que estão sendo executados no computador local do usuário final e se comportam dessa forma.

Acesso via Web dos Serviços de Terminal Um dos principais itens na lista de desejos das pessoas era uma forma simples para os usuários finais iniciarem os aplicativos. O Acesso via Web TS atende a essa necessidade, permitindo aos administradores publicar aplicativos individuais em uma página da Web. Ele inclui uma página da Web padrão que pode ser implantada diretamente, mas também pode ser personalizada e integrada a um site do SharePoint. Para iniciar um RemoteApp TS com o Acesso à Web TS, o usuário visita uma página da Web (acessada pela Internet ou intranet), vê uma lista de todos os aplicativos disponíveis e clica no desejado.

No Windows Server 2003, um controle do ActiveX separado, chamado RDWC (Conexão Web de Área de Trabalho Remota), era necessário para habilitar uma conexão a partir de um navegador. Agora, o controle foi criado diretamente no cliente RDC (Conexão de Área de Trabalho Remota), portanto, não é preciso baixar nem instalar nada no cliente. Além disso, há suporte para o conjunto completo de recursos do protocolo RDP, o que não acontecia no antigo cliente RDWC.

Gateway de Serviços de Terminal O Gateway TS é um dos recursos novos mais importantes no Windows Server 2008. O tráfego RDP passa pela porta 3389, e um dos principais problemas que os administradores tinham ao implantar um servidor de terminal para os usuários fora do firewall era abrir essa porta no firewall (não recomendado) ou usar uma solução VPN separada (dispendioso). Com o Gateway TS, o tráfego RDP é transmitido via HTTPS (porta 443) para estabelecer uma conexão criptografada entre os usuários remotos na Internet e o servidor de terminal (ou PC remoto). Melhor ainda, o cenário funciona muito bem, mesmo que o usuário ou servidor de terminal esteja localizado atrás de um roteador transversal NAT (conversão de endereço de rede).

O TS Gateway pode ser integrado a outro recurso do Windows Server 2008, a NAP (Proteção de Acesso à Rede), para ajudar a garantir a integridade de computadores cliente antes de conceder acesso aos recursos dos Serviços de Terminal.

Agente de Sessão dos Serviços de Terminal O Windows Server 2000 introduziu o NLB (Balanceamento de Carga de Rece) e, embora isso funcione muito bem para servidores Web, não é ideal para o balanceamento de carga dos Serviços de Terminal. O novo Agente de Sessão TS fornece uma ótima alternativa, expandindo os recursos do Diretório de Sessões do Windows Server 2003 para habilitar o balanceamento de carga baseado em sessão.

Com o Agente de Sessão TS, novas sessões são distribuídas para o servidor menos carregado dentro da farm, e os usuários não precisam saber onde uma sessão foi estabelecida para se reconectarem à sessão existente. Os gerentes de TI podem usar o recurso para mapear o endereço IP de cada Terminal Server em uma única entrada DNS. Essa configuração também pode fornecer tolerância a falhas; se um dos servidores da farm não estiver disponível, os usuários se conectarão ao próximo servidor menos carregado na farm.

Terminal Services Easy Print Historicamente, a impressão é a pedra no sapato de muitos administradores em um ambiente dos Serviços de Terminal. Com os drivers de impressão correspondentes necessários tanto no computador servidor quanto no cliente, os usuários finais tinham menos flexibilidade para instalar impressoras, e os administradores tinham de se preocupar em gerenciar os drives de impressão no servidor. Com o TS Easy Print, entretanto, agora, os usuários podem imprimir de forma confiável a partir do RemoteApp TS ou de uma sessão completa da área de trabalho em um dispositivo de impressão local, quer ele esteja conectado diretamente ou por meio de uma rede. A melhor parte é que as impressoras têm suporte e não é necessário instalar drivers no servidor de terminal.

Quando um usuário quiser imprimir de um programa RemoteApp TS ou uma sessão da área de trabalho, ele verá a caixa de diálogo com todas as propriedades da impressora no cliente local e terá acesso a todas as funcionalidades da impressora (como marcas d'água, intercalação e lote). Quando o usuário imprimir, o trabalho de impressão será processado no formato de arquivo Microsoft XPS no servidor e enviado ao cliente. Além disso, com o TS Easy Print, os administradores podem usar a Diretiva de Grupo para limitar o número de impressoras redirecionadas apenas à impressora padrão, reduzindo assim a sobrecarga e melhorando a escalabilidade.

Esses são os recursos "de luxo" do Windows Server 2008. Retornaremos ao TS RemoteApp, Acesso à Web TS, Gateway TS e Agente de Sessão TS posteriormente, neste artigo. Primeiro, vejamos outros recursos muito bons, mas menos proeminentes, desta versão.

Recursos de segurança

A segurança foi reforçada na nova versão dos Serviços de Terminal.

NLA (Autenticação no Nível da Rede) e SA (Autenticação de Servidor) Com as versões anteriores do TS, um ataque de negação de serviço ou de intermediário era iniciado na tela de logon do servidor de terminal, quando era apresentada aos usuários a tela de logon depois de clicar em Conectar no cliente RDC. Agora a NLA autentica as credenciais de usuário, do computador cliente e do servidor, uma em relação à outra, antes que uma sessão passe pelo servidor e a tela de logon seja apresentada ao usuário. A Autenticação de Servidor usa o protocolo TLS para ajudar a garantir que os clientes sejam conectados a um servidor de terminal legítimo e não a um computador não autorizado.

Logon único Os usuários querem poder usar um conjunto de credenciais (uma combinação de senha do usuário ou um cartão inteligente e PIN) a ser autenticado apenas uma vez, e não serem solicitados diversas vezes a fornecer essas credenciais sempre que usarem um novo recurso. Com esta versão, os computadores associados a um domínio com o Windows Vista ou o Windows Server 2008 que se conectarem a um servidor de terminal ou Gateway TS baseados no Windows Server 2008 poderão utilizar o logon único.

Proteção em nível de sistema O Windows Vista e o Windows Server 2008 possuem uma nova proteção em nível de sistema, que basicamente modula os componentes do sistema operacional e os executa em níveis de privilégio inferiores. Nos Serviços de Terminal, esse recurso foi implementado pela divisão do mecanismo TS principal (termsrv.dll) em dois componentes separados (lsm.exe, o gerenciador de sessões principal, e termsrv.dll, para conectividade remota).

Antes, termsrv.dll era executado no nível superior de privilégio do sistema. Agora, somente um terço do código termsrv.dll original é executado nesse nível no novo lsm.exe; os outros dois terços são executados em um nível bem inferior de privilégio de serviço de rede. Essa alteração reduz significativamente a superfície de ataque em comparação com o Windows Server 2003.

Recursos da experiência do usuário

Há vários aprimoramentos para ajudar os usuários:

Resoluções de vídeo personalizadas Com o rápido crescimento de monitores grandes e uma ampla variedade de taxas de resolução de vídeo, os Serviços de Terminal do Windows Server 2008 melhoraram para atender às suas necessidades.

O usuário final tem a capacidade de definir resoluções de vídeo personalizadas (de até 4096 x 2048) ou alterar as taxas para 16:9 ou 16:10, para obter uma experiência widescreen. Todos os tipos de novas configurações de monitor podem ter suporte, como monitores com resoluções de 1680 x 1050 ou 1920 x 1200. É um grande aprimoramento em relação ao Windows Server 2003, que oferecia suporte à resolução máxima de 1600 x 1200 e apenas a taxas de resolução de vídeo 4:3. Você pode definir uma resolução de vídeo personalizada na caixa de diálogo do cliente RDC, em um arquivo .rdp, ou em um prompt de comando.

Para definir uma resolução de vídeo personalizada em um arquivo .rdp, abra o arquivo .rdp em um editor de texto e adicione ou altere as seguintes configurações (observe que <value> é a resolução, como 1680 ou 1050):

desktopwidth:i:<value>
desktopheight:i:<value>

Para definir uma resolução de vídeo personalizada em um prompt de comando, use o comando mstsc.exe com a seguinte sintaxe (observe que <width> e <height> são a resolução, como 1680 ou 1050):

mstsc.exe /w:<width> /h:<height>

Distribuição de monitores As sessões de área de trabalho remota agora podem ser distribuídas entre vários monitores. Há alguns pré-requisitos para que este recurso funcione adequadamente:

• Todos os monitores devem ter a mesma resolução. Por exemplo, dois monitores usando 1024 x 768 podem ser distribuídos. Mas um monitor com 1024 x 768 e outro com 800 x 600 não podem.
• Todos os monitores devem estar alinhados horizontalmente (ou seja, lado a lado). Atualmente, não há suporte para vários monitores distribuídos verticalmente no sistema cliente.
• A resolução total em todos os monitores não pode exceder a resolução máxima de 4096 x 2048.

Para habilitar a distribuição de monitores em um arquivo .rdp, abra o arquivo .rdp em um editor de texto e adicione ou altere as seguintes configurações (observe que se <value>=0, a distribuição do monitor é desabilitada, se <value>=1, ela é habilitada):

Span:i:<value>

Para definir a distribuição de monitores a partir de um prompt de comando, use o comando mstsc.exe com a seguinte sintaxe:

mstsc.exe /span

Experiência Desktop A Experiência Desktop torna a área de trabalho dos Serviços de Terminal bem mais parecida com a experiência da área de trabalho do Windows Vista. Este recurso adiciona vários componentes à área de trabalho remota, incluindo o Windows Media Player 11, temas da área de trabalho e gerenciamento de foto. Veja como habilitar a Experiência Desktop:

1. Abra o Gerenciador de Servidores. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de Servidores.
2. Em Resumo dos Recursos, clique em Adicionar Recursos.
3. Na página Selecionar Recursos, marque a caixa de seleção Experiência Desktop e clique em Avançar.
4. Na página Confirmar Seleções de Instalação, verifique se o recurso Experiência Desktop será instalado e clique em Instalar.
5. Na página Resultados da Instalação, você será solicitado a reiniciar o servidor para concluir o processo de instalação. Clique em Fechar e em Sim para reiniciar o servidor.

Depois que o servidor for reiniciado, você deve confirmar se o recurso Experiência Desktop foi instalado.

Suavização de fonte A suavização de fonte é o nome do suporte dos Serviços de Terminal a ClearType, que ajuda a exibir as fontes do computador com mais nitidez, especialmente em um monitor LCD. A suavização de fonte é habilitada por padrão no Windows Server 2008 e pode ser habilitada quando um computador cliente se conectar por meio de uma caixa de seleção na Conexão de Área de Trabalho Remota, como mostra a Figura 1.

Figura 1 Habilitando a suavização de fonte

Você deve notar que a suavização de fonte aumenta a largura de banda (de 4 a 10 vezes, dependendo do cenário) usada entre o computador cliente e o servidor de terminal. O aumento na largura de banda ocorre porque as fontes ClearType são remotas como bitmaps em vez de glifos, que o RDP manipula com muito mais eficiência.

Priorização de dados de exibição Com o Windows Server 2003, imprimir um trabalho grande, em geral, prejudicava a experiência na tela. A priorização de dados de exibição controla automaticamente o tráfego de canal virtual para que os dados do vídeo, teclado e mouse tenham uma prioridade maior sobre outro tráfego, como impressão e transferências de arquivo. Essa priorização foi criada para garantir que o desempenho do seu vídeo, teclado e mouse não seja afetado pelas ações de uso intenso de largura de banda, como grandes trabalhos de impressão.

A configuração de fábrica é 70:30. Aos dados de exibição e de entrada são alocados 70% da largura de banda, enquanto que para todos os outros tráfegos, como transferências de arquivo ou trabalhos de impressão, são alocados 30%.

Você pode ajustar as configurações, fazendo as alterações no registro do servidor de terminal. Para isso, altere o valor das seguintes entradas na subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD:

FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression

Se essas entradas não aparecerem, você poderá adicioná-las clicando com o botão direito do mouse em TermDD, apontando para Novo e clicando em Valor DWORD (32 bits).

É possível desabilitar a priorização de dados de exibição configurando o valor de FlowControlDisable=1. Se a priorização de dados de exibição for desabilitada, todas as solicitações serão manipuladas em uma base "primeiro a entrar, primeiro a sair". O valor padrão para FlowControlDisable=0.

É possível definir a prioridade de largura de banda para exibição (e dados de entrada), configurando o valor FlowControlDisplayBandwidth. O valor padrão é 70; o valor máximo permitido é 255. Da mesma forma, você pode definir a prioridade de largura de banda para canais virtuais (como área de transferência, transferências de arquivo ou trabalhos de impressão), configurando o valor FlowControlChannelBandwidth. O valor padrão é 30; o valor máximo permitido é 255.

A taxa de largura de banda para priorização de dados de exibição baseia-se nos valores de FlowControlDisplayBandwidth e FlowControlChannelBandwidth. Por exemplo, se FlowControlDisplayBandwidth for definido como 150 e FlowControlChannelBandwidth como 50, a taxa será de 150:50. Como resultado, serão alocados aos dados de exibição e de entrada 75% da largura de banda.

O valor FlowControlChargePostCompression determina se o controle de fluxo calculará a alocação de largura de banda com base nos bytes anteriores ou posteriores à compactação. O valor padrão é 0, o que significa que o cálculo será feito sobre os bytes anteriores à compactação.

Se fizer qualquer alteração nos valores de registro, será necessário reiniciar o servidor de terminal para que as alterações entrem em vigor.

Redirecionamento de dispositivo Plug and PlayNos Serviços de Terminal do Windows Server 2008, o redirecionamento de dispositivo foi aprimorado e expandido. Agora você pode redirecionar Dispositivos Portáteis do Windows, especificamente players de mídia, com base no protocolo MTP e em câmeras digitais baseadas no protocolo PTP.

Essa funcionalidade pode ser habilitada com o botão Opções na Conexão de Área de Trabalho Remota. Quando habilitada, é mostrada uma lista de dispositivos Plug and Play atualmente conectados. Dispositivos sem suporte não são exibidos. Também é possível selecionar a opção de redirecionar dispositivos que ainda não estão conectados. A Figura 2 mostra como fazer isso a partir do cliente RDC.

Figura 2 Habilitando dispositivos que ainda não foram conectados

Quando a sessão no computador remoto for iniciada, você verá o dispositivo Plug and Play redirecionado ser automaticamente instalado no computador remoto (as notificações de Plug and Play aparecerão na barra de tarefas). Depois de ser instalado, o dispositivo Plug and Play redirecionado estará disponível para uso na sua sessão com o computador remoto. Por exemplo, se você estiver redirecionando um Dispositivo Portátil do Windows, como uma câmera digital, ele poderá ser acessado diretamente de um aplicativo como o Assistente de Scanner e Câmera no computador remoto.

É possível controlar o redirecionamento do dispositivo Plug and Play usando as seguintes configurações de Diretiva de Grupo:

• Do not allow supported Plug and Play device redirection located in Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection (Não permitir redirecionamento de dispositivos Plug and Play com suporte localizado em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Serviços de Terminal\Terminal Server\Redirecionamento de Dispositivos e Recursos).
• As configurações de diretiva localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Instalação de Dispositivo\Restrições de Instalação de Dispositivos.

Também é possível controlar o redirecionamento de dispositivo Plug and Play na guia Configurações do Cliente na ferramenta Configuração dos Serviços de Terminal (tsconfig.msc) usando a caixa de seleção Dispositivos Plug and Play com Suporte.

Acesso remoto facilitado

Anteriormente, mencionei que o TS RemoteApp permite aos usuários tornar remoto apenas um aplicativo e o Acesso à Web TS permite que acessem aplicativos facilmente a partir de uma página da Web; agora, vejamos com mais detalhes esses recursos e algumas de suas configurações.

TS RemoteApp Os programas RemoteApp podem ser implantados na área de trabalho do usuário usando vários métodos. Além do Acesso à Web TS, você também pode:

• Criar um arquivo do protocolo RDP.
• Criar um ícone de programa na área de trabalho ou no menu Iniciar por meio de um pacote do Windows Installer (.msi) distribuído anteriormente.
• Executar um arquivo em que a extensão do nome do arquivo esteja associada a um programa RemoteApp. Isso pode ser configurado pelo administrador com um pacote do Windows Installer.

Para obter mais informações sobre como os usuários podem acessar os programas RemoteApp, consulte "Como implantar programas RemoteApp?" no Guia passo a passo do Windows Server 2008 TS RemoteApp em go.microsoft.com/fwlink/?LinkID=84895.

Acesso à Web TS O Acesso à Web TS permite a implantação de programas RemoteApp a partir de um único servidor ou uma farm de servidores de terminal. O Gerenciador de TS RemoteApp fornece um processo muito rápido e eficiente para publicar aplicativos no Acesso à Web TS (primeiro, instale os Serviços de Terminal e, depois, os aplicativos que deseja hospedar).

Use o Gerenciador de TS RemoteApp para adicionar programas RemoteApp habilitados para o Acesso à Web TS. Em seguida, instale o Acesso à Web TS no servidor ao qual você deseja que os usuários se conectem pela Web. Adicione a conta do computador do servidor de Acesso à Web TS ao grupo de computadores de Acesso à Web TS no servidor de terminal. Finalmente, configure o servidor de Acesso à Web TS para preencher sua lista de programas RemoteApp a partir de um único servidor de terminal ou uma única farm.

Depois que os aplicativos forem instalados por meio do método tradicional ou entregues ao servidor de terminal com a Virtualização de Aplicativo (anteriormente conhecida como SoftGrid), será muito fácil publicá-los no Acesso à Web TS. O Assistente do RemoteApp conduz o administrador por algumas etapas rápidas e fáceis e os aplicativos aparecem na lista de Programas RemoteApp publicados.

Por padrão, os aplicativos serão publicados no Acesso à Web TS. O Gerenciador do RemoteApp mostrará uma lista dos aplicativos publicados e todos os aplicativos disponíveis aos usuários por meio do Acesso à Web TS.

Agora vamos examinar rapidamente a experiência do usuário final direta. A primeira guia no Acesso à Web TS mostra os ícones de todos os aplicativos que são publicados (consulte a Figura 3); a segunda guia permite aos usuários se conectar a um computador desktop específico usando o front-end da Web. Como observado anteriormente, essa interface da Web é totalmente personalizável e o "Guia passo a passo do Acesso à Web TS: Personalizando o Acesso à Web TS usando o Windows SharePoint Services", disponível em go.microsoft.com/fwlink/?LinkID=111241, é um ótimo recurso que o orienta em uma personalização com o SharePoint Services.

Figura 3 Visualizando programas RemoteApp no Acesso à Web TS (clique na imagem para ampliá-la)

Outros métodos de implantação Além de usar o Acesso à Web TS, é possível implantar os programas RemoteApp com arquivos .rdp ou pacotes do Windows Installer. Esses pacotes podem ser distribuídos por meio do compartilhamento de arquivos, da distribuição de software do Active Directory ou do Microsoft Systems Center Operations Manager. A próxima seção mostrará as etapas principais para criar os pacotes corretos para a distribuição de aplicativos.

Para preparar os programas RemoteApp para distribuição pelo compartilhamento de arquivos ou um outro mecanismo de distribuição, é necessário instalar os Serviços de Terminal e os aplicativos a serem publicados e verificar as configurações de conexão remota. O Assistente do TS RemoteApp o ajudará a adicionar os programas RemoteApp e definir as configurações globais de implantação. Depois, você poderá criar os arquivos .rdp ou os pacotes do Windows Installer.

Vejamos rapidamente o Assistente do RemoteApp. Na Etapa 1, você configura o Terminal Server, Gateway TS e define as configurações de Certificado para os arquivos .rdp (consulte a Figura 4).

Figura 4 Inserindo configurações para arquivos .rdp (clique na imagem para ampliá-la)

Na Etapa 2, você especifica onde os ícones de atalho aparecerão na área de trabalho ou no menu Iniciar e/ou associa extensões de arquivo cliente para que os arquivos locais sejam iniciados com o RemoteApp (consulte a Figura 5).

Figura 5 Definindo opções para o pacote de programas (clique na imagem para ampliá-la)

Na última etapa, o Assistente do RemoteApp abre a pasta Packaged Programs (Programas Compactados) para que você possa implantar facilmente esses aplicativos compactados nos computadores cliente com o software de distribuição desejado (consulte a Figura 6).

Figura 6 Programas compactados para implantação (clique na imagem para ampliá-la)

Gateway dos Serviços de Terminal

Agora, iremos examinar como o Gateway TS pode ajudar os usuários remotos a obter acesso a aplicativos, dados ou áreas de trabalho de fora do firewall. A Figura 7 mostra, em um nível bastante elevado, um cenário típico de implantação do Gateway TS para fornecer acesso aos usuários pela Internet.

Figura 7 Funcionário conectando de um laptop em sua residência a uma rede corporativa (clique na imagem para ampliá-la)

Em essência, o Gateway TS fica no perímetro de rede e transfere o tráfego RDP por HTTPS. Se preferir, você pode colocar um terminador SSL (como o ISA, Microsoft Internet Security and Acceleration Server) no perímetro da rede e encaminhar o tráfego de entrada RDP para o Gateway TS do outro lado.

Veja as etapas ilustradas na Figura 7:

1. Um usuário em um laptop doméstico pode se conectar pela Internet clicando no arquivo RDP ou no ícone de um programa RemoteApp localizado na área de trabalho, no ícone de um TS RemoteApp publicado por meio do Acesso à Web TS ou abrindo do cliente Conexão de Área de Trabalho Remota.
2. É estabelecido um canal SSL entre o laptop doméstico e os servidores de terminal usando o certificado SSL do servidor de Gateway TS. Para que a conexão seja estabelecida, o usuário deve ser autenticado e autorizado de acordo com as diretivas de autorização de conexão dos Serviços de Terminal (TS CAPs) e das diretivas de autorização de recursos dos Serviços de Terminal (TS RAP). Assim que as diretivas TS RAP e TS CAP (discutidas abaixo) forem aplicadas, o usuário poderá abrir uma sessão.
3. O laptop doméstico troca pacotes RDP criptografados e encapsulados no SSL com o Gateway TS pela porta 443. O Gateway TS encaminha os pacotes RDP ao servidor de terminal pela porta 3389.

Você pode criar uma farm de servidores de Gateway TS para instalações maiores, mas precisará de uma solução separada (como NLB ou um balanceador de carga de terceiros) para balancear a carga entre os sistemas da farm de servidores. O Agente de Sessão TS não manipula balanceamento de carga para servidor de Gateway TS.

Agora, vejamos brevemente como implantar essa funcionalidade. Em poucas palavras, é necessário obter e configurar um certificado para o servidor de Gateway TS e criar os dois tipos de diretivas de autorização que mencionei antes: TS CAP e TS RAP.

Obtendo um certificado Você pode usar um certificado existente ou solicitar um novo. É necessário um certificado válido para que o Gateway TS funcione e você tem uma opção durante a instalação de importar um certificado ou criar um certificado auto-assinado.

A opção auto-assinada é boa se você estiver fazendo testes internos, mas a implantação apropriada requer um certificado emitido por uma autoridade de certificação corporativa (como a VeriSign). Depois de instalar o certificado, você pode considerar as diretivas de autorização de implantação.

Diretivas de autorização O TS CAPs determinam quem pode se conectar ao Gateway TS e especificam sob quais condições o usuário pode se conectar. Por exemplo, você pode especificar se um grupo de usuários que existe no servidor Gateway TS local ou no Active Directory pode se conectar a um Gateway TS e se os membros do grupo devem usar cartões inteligentes.

TS RAPs, entretanto, determinam quais recursos internos os usuários podem acessar por meio do Gateway TS. Por exemplo, você pode criar um grupo de computadores (como uma farm de servidores de terminal) e associá-lo ao seu TS RAP.

É necessário criar TS CAPs e TS RAPs para oferecer aos usuários remotos acesso aos recursos internos, já que um usuário deve atender às condições de pelo menos um TS CAP e um TS RAP para ter acesso. Os administradores podem criar os dois tipos com o Gerenciador de Gateway TS, como mostra a Figura 8 e a Figura 9.

Figura 8 Criando uma diretiva de autorização de conexão (clique na imagem para ampliá-la)

Figura 9 Criando uma diretiva de autorização de recursos(clique na imagem para ampliá-la)

juntos, os TS CAPs e os TS RAPs fornecem dois tipos diferentes de autorização que permitem configurar um nível de controle de acesso mais adequado para computadores em uma rede interna. Para obter informações, consulte o "Guia passo a passo de Gateway dos Serviços de Terminal" em go.microsoft.com/fwlink/?LinkID=85872.

Agente de Sessão TS

O último tópico que gostaria de abordar é o Agente de Sessão, que fornece uma solução de balanceamento de carga baseada em sessão de implantação simples. A funcionalidade aproveita os recursos do Diretório de Sessões do Windows Server 2003 que reconecta um usuário a uma sessão existente e adiciona a capacidade de criar uma nova sessão no servidor menos carregado na farm.

Vejamos um cenário típico no qual todos os servidores de terminal em uma farm possuem registros de recursos de host em DNS que são mapeados para um nome de farm de servidores de terminal específico, digamos Farm1. Qualquer servidor de terminal na farm pode, assim, atuar como redirecionador e processar as solicitações de conexão iniciais.

Suponha que um usuário inicie um cliente RDC, especificando uma farm de servidores de terminal chamada Farm1. O cliente contata o servidor DNS para determinar o nome da Farm1 para um endereço IP, e o servidor DNS, que está configurado para usar round robin para balancear a carga das solicitações de conexão iniciais, retorna uma lista de endereços IP que são registrados para a Farm1.

O cliente envia a solicitação de conexão ao primeiro endereço IP na lista que é retornado pelo servidor DNS. O servidor de terminal com esse endereço atua como o redirecionador, consultando o servidor do Agente de Sessão TS para determinar em qual servidor de terminal o cliente deve fazer logon. O servidor do Agente de Sessão TS verifica o banco de dados e, se o usuário tiver uma sessão existente, o Agente de Sessão retornará o endereço IP desse servidor de terminal. Se o usuário não tiver uma sessão existente, o Agente de Sessão determinará qual servidor de terminal na farm tem a menor carga (com base no número de sessões e no valor do peso do servidor relativo) e retornará o endereço IP desse servidor de terminal específico.

O redirecionador envia ao cliente o endereço IP e o cliente e, depois, envia a solicitação de conexão para aquele servidor, que processa a solicitação de logon e notifica o Agente de Sessão TS do logon bem-sucedido.

Observe que, embora possa ser usado qualquer mecanismo de balanceamento de carga para distribuir as conexões iniciais, o round robin DNS é o mecanismo mais fácil de implantar. Entretanto, saiba que o round robin DNS tem algumas limitações, incluindo o cache de solicitações DNS no cliente, que podem resultar em clientes usando o mesmo endereço IP para cada solicitação de conexão inicial, e o potencial para um atraso de 30 segundos no tempo limite se um usuário for redirecionado para um servidor de terminal offline, mas estiver listado no DNS.

A implantação do Balanceamento de Carga do Agente de Sessão TS com uma solução de balanceamento de carga no nível de rede, como NLB ou um balanceador de carga de hardware, evita as limitações de DNS e ainda aproveita os recursos do Agente de Sessão TS. O recurso do balanceamento de carga do Agente de Sessão TS permite atribuir um valor de peso relativo a cada servidor, o que ajuda a distribuir a carga entre servidores mais poderosos e menos poderosos na farm. Por exemplo, se você tiver um servidor que possa manipular duas vezes mais sessões que outro servidor na farm, você lhe daria um peso de 200 em relação a 100 do outro.

O Balanceamento de Carga do Agente de Sessão TS define um limite de 16 para o número máximo de solicitações de logon pendentes para um determinado servidor de terminal. Este recurso ajuda a impedir a sobrecarga em um único servidor com novas solicitações de logon quando, por exemplo, você adiciona um novo servidor à farm ou habilita logons de usuário em um servidor no qual eles foram negados anteriormente.

Além disso, é fornecido um novo mecanismo de "escoamento de servidor" que permite impedir que novos usuários façam logon em um servidor de terminal que esteja agendado para ser desativado para manutenção. Se os novos logons forem negados em um servidor de terminal específico, o Agente de Sessão TS permitirá que os usuários com sessões existentes se conectem novamente, mas redirecionará os novos usuários aos servidores de terminal que foram configurados para permitir novos logons.

Para obter informações, consulte o "Guia passo a passo de Balanceamento de Carga do Agente de Sessão TS" em go.microsoft.com/fwlink/?LinkID=92670. Não há espaço suficiente aqui para falar mais sobre os novos recursos do Windows Server 2008 TS. Entretanto, há muito mais conteúdo, incluindo webcasts detalhados, sobre o site dos Serviços de Terminal. Para saber mais, vá direto para technet.microsoft.com/ts.

Joshua Schnoll tem mais de 15 anos de experiência em marketing e tecnologia, dos quais os últimos 6 dedicou à computação baseada em servidor. É gerente sênior internacional de produtos para os Serviços de Terminal do Windows Server. Antes de entrar para a Microsoft, assumiu vários cargos na Sun Microsystems, incluindo o de diretor de marketing de produtos para clientes Sun Ray Ultra-Thin.