Терминальные службы

Слышали что-нибудь о службах удаленных рабочих столов в Windows Server 2008 R2? Возможно, вам знакомо более традиционное наименование – службы терминалов? Именно так они назывались в предыдущих версиях Windows.

Терминальные службы лежат в основе сетевого решения, когда пользователи работают на своих (клиентских) компьютерах с приложениями, запущенными не локально, а на сервере терминалов. При этом по сети на клиентские компьютеры транслируется лишь графическое изображение окон открытых приложений, а вся вычислительная нагрузка приходится на сервер. Установка приложений на сервере терминалов особенно выгодна, если производительность клиентских компьютеров недостаточна для работы с современными приложениями и операционными системами, либо если приложение нуждается в сложной настройке или в постоянном обновлении. Это выход из положения, если требуется поддерживать работу парка устаревших компьютеров. И наконец, это замечательное средство, чтобы подключаться к рабочему компьютеру из дома, да и вообще из любой точки, где есть Интернет! И при этом получать привычную рабочую среду даже по медленному подключению к глобальной сети.

Не вдаваясь в детали, работу терминальных служб можно представить следующим образом. Пользователь запускает на своем компьютере приложение терминального доступа и обращается к серверу, на котором запущена служба терминалов. После успешной аутентификации для пользователя создается собственный сеанс, в котором запускаются (автоматически или вручную) требуемые приложения. Разные пользователи, одновременно работающие с сервером терминалов, создают разные сеансы, которые не взаимодействуют друг с другом. Приложения выполняются на сервере, а пользователю реально передаются по сети лишь графическое изображение пользовательского интерфейса: окна открытых приложений или весь рабочий стол. Со стороны клиентского компьютера к серверу по сети поступает информация о манипуляциях пользователя с мышью и клавиатурой. Благодаря средству публикации приложений RemoteApp, входящему в состав терминальных служб Windows Server 2008, запуск и работа с приложениями на сервере терминалов вообще не имеют видимых отличий от приложений, установленных на локальном компьютере.

Важно понимать, что терминальные службы передают на клиентский компьютер графическое представление сеанса пользователя, сформированного в оперативной памяти терминального сервера, однако это представление не имеет ничего общего с изображением на экране монитора, подключенного к серверу. Так например, разрешение экрана и глубина цвета в терминальном сеансе никак не зависят от возможностей и настроек видеоадаптера на сервере. В этом важнейшее отличие терминальных служб от различных программ для удаленного управления компьютерами (VNC, Удаленный помощник в разных версиях Windows), которые просто передают по сети копию изображения на экране монитора.

Приложение терминального доступа входит в состав стандартных компонентов операционных систем Windows и называется Подключение к удаленному рабочему столу. Чтобы запустить приложение, щелкните кнопку Пуск, выберите пункт Главное меню – Все программы – Стандартные и найдите ярлыкПодключение к удаленному рабочему столу.

В поле Компьютер следует указать имя или IP-адрес сервера удаленных рабочих столов, а щелкнув кнопку Параметры, вы получите доступ к многочисленным настройкам: будет ли запускаться терминальный сеанс на полном экране или в окне, какие устройства на стороне клиента будут подключаться к терминальному сеансу и многое другое. Правда, многие из этих настроек могут быть переопределены на терминальном сервере или средствами групповых политик и не допускать изменений. Также имеется возможность сохранить настройки терминального подключения в виде файла с расширением .RDP. В дальнейшем, если дважды щелкнуть по такому файлу, то запустится терминальное подключение с сохраненными параметрами.

Неотъемлемой составной частью терминального доступа является протокол – “язык”, на котором общаются служба и приложение терминального доступа. Разные производители разработали различные протоколы для своих продуктов терминального доступа, однако для терминальных служб Windows стандартным протоколом является Remote Desktop Protocol или RDP. Его версия и функциональность отличаются в зависимости от версии операционной системы. Например, в Windows Server 2008 R2 применяется протокол RDP версии 6.1. Протокол RDP относится к протоколам прикладного уровня (как и HTTP, SMTP и др.) и на более низком уровне является протоколом TCP. По умолчанию, службы терминалов ожидают входящих соединений, открывая порт 3389. Не исключено, что данная информация потребуется, если вам придется вручную добавлять исключения в Windows Firewall, либо настраивать какой-то другой межсетевой экран.

Существуют два режима, в которых работает служба удаленных рабочих столов: режим удаленного управления и режим сервера приложений. Первый из них полезен для администратора, когда требуется получить доступ к рабочему столу без физического присутствия рядом с сервером. Включить режим удаленного управления очень просто. Находясь в Панели управления, щелкните значокСистема, затем в левой части появившегося окна выберите Настройка удаленного доступа. Откроется окно Свойства системы с множеством закладок. На открытой закладке Удаленный доступ в разделе Удаленный рабочий стол выберите пункт Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее) или Разрешать подключаться только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Последний режим, хотя и обеспечивает улучшенную безопасность терминального доступа, но без дополнительной настройки может не поддерживать подключения с компьютеров с более ранними версиями операционных систем.

Вы можете проигнорировать кнопку Выбрать пользователей, поскольку, по умолчанию, пользователям, входящим в локальную группу Администраторы, уже будет разрешен терминальный доступ. Далее нажмите кнопку OK и прочтите предупреждение о том, что соответствующие исключения будут настроены в Windows Firewall. Перезагрузка не потребуется, сервер сразу будет готов принимать терминальные подключения.

Режим удаленного управления поддерживается даже в клиентских операционных системах. Он предназначен для администраторов, а не для пользователей, поэтому число одновременных подключений к серверам ограничено двумя. А для работы пользователей с приложениями, запущенными в терминальных сеансах, предназначена особая серверная роль, а именноСлужбы удаленных рабочих столов.

Роль, будучи установленной, снимает ограничения на число одновременных терминальных подключений, они ограничиваются лишь физическими характеристиками сервера. Однако перед администратором встает вопрос о лицензировании терминальных подключений. Кстати, актуальный вопрос для обсуждения с бухгалтерией! Ведь, каждое терминальное подключение требует лицензию, которая называется Remote Desktop Services CAL (RDS CAL) и должна приобретаться наряду с лицензией клиентского подключения к серверу Windows. Иными словами, для лицензирования терминального подключения требуется даже не одна, а две лицензии – Server CAL и RDS CAL.По аналогии с лицензиями Server CAL, доступ к удаленному рабочему столу лицензируется на компьютер или на пользователя. При этом лицензии RDS CAL должны быть установлены на особом сервере в инфраструктуре служб удаленных рабочих столов – сервере лицензирования.

В короткой статье можно лишь рассказать, как правильно начать работать со службами терминалов. Все компоненты терминальных служб требуют обязательной установки роли Службы удаленных рабочих столов. Добавлять роль рекомендуется до того, как на сервер будут установлены приложения. В самом простом случае, когда планируется установить единственный сервер удаленных рабочих столов, следует выбрать указанную роль в Мастере добавления ролей, запускаемого из Диспетчера сервера.

и затем, когда появится окно Выбор служб ролей, добавить службы роли Узел сеансов удаленных рабочих столов и Лицензирование удаленных рабочих столов.

Далее следует ответить на ряд других вопросов Мастера, связанных с безопасностью терминальных подключений, типом лицензирования, функционированием мультимедиа и тем, какие пользователи и группы должны получить доступ к данному терминальному серверу. После сбора информации происходит добавление роли в конфигурацию сервера, по окончании которой требуется перезагрузка. Дальнейшую настройку следует проводить вДиспетчере сервера, открывая в левой часть консоли раздел Роли – Службы удаленных рабочих столов.

Нет сомнений, что некоторые усилия придется потратить для детальной настройки вашего терминального сервера. Однако не забудьте при этом про сервер лицензирования! Это обязательный элемент вашей инфраструктуры. Находясь в Диспетчере сервера, раскройте раздел Роли – Службы удаленных рабочих столов. В правой части консоли найдите раздел Дополнительные инструменты и щелкните пункт Диспетчер лицензирования удаленных рабочих столов.

Сразу после установки сервер лицензирования не готов к работе. Его требуется активировать в Центре активаций Microsoft, а затем установить приобретенные лицензии RDS CAL. Для активации сервера, находясь в консоли Диспетчера лицензирования удаленных рабочих столов,

щелкните правой кнопкой мыши по значку сервера (неактивированный сервер лицензирования обозначается красным кружком с крестом) и в контекстном меню выберите пункт Активировать сервер. Мастер активации сам предложит наиболее подходящий вариант для активации сервера лицензирования – через Интернет или по телефону. Затем установите пакет лицензий, либо безотлагательно позаботьтесь о его приобретении, поскольку срок действия временных лицензий – 120 дней.

Для настройки служб терминалов на сервере используйте раздел Роли – Службы удаленных рабочих столов – Конфигурация узла сеансов удаленных рабочих столов в консоли Диспетчер сервера. В частности, обязательно укажите сервер лицензирования. Для этого дважды щелкните пункт Серверы лицензирования удаленных рабочих столов

и в открывшемся окне свойств на закладке Лицензирование выберите режим лицензирования сервера терминалов (режим лицензирования должен соответствовать типу приобретенных лицензий RDS CAL) и добавьте в список имя сервера лицензирования, которое в нашем случае будет совпадать с именем сервера терминалов.

Терминальные службы внесли значительные изменения в архитектуру Windows, в том числе и в клиентские операционные системы. На основе архитектуры терминальных служб создаются решения, которые, на первый взгляд, даже не являются терминальными. Интересной модификацией технологий терминального доступа является продукт Windows MultiPoint Server 2011.

Вычислительные возможности компьютера, как правило, превосходят потребности обычного пользователя, особенно, если речь идет о начальном обучении работе за компьютером. Поэтому за одним компьютером могли бы работать не один, а одновременно несколько пользователей. Системный блок компьютера с установленным Windows Multipoint Server оснащается несколькими видеоадаптерами, к которым подключается соответствующее число мониторов. Клавиатуры и мыши (по числу мониторов) подключаются к портам USB системного блока или к USB-хабу. Таким образом, комплекты из монитора, мыши и клавиатуры образуют рабочие места, а системный блок оказывается общим для всех пользователей. Это дает ощутимую экономию при организации рабочих мест в библиотеках, компьютерных классах и других местах, где устанавливаются общедоступные компьютеры.

Windows MultiPoint Server 2011 функционирует на основе службы удаленных рабочих столов и поддерживает, в зависимости от версии, до 20 рабочих мест. Каждый пользователь работает в собственной терминальной сессии. Основным отличием от обычного терминального доступа является отсутствие внешних сетевых подключений, поскольку подключения к терминальным сессиям происходят непосредственно с сервера, а не с клиентских компьютеров. Microsoft Multipoint Server – удачный пример того, как возможности терминальных служб могут быть использованы для решения самых разных задач, даже не относящихся непосредственно к терминальному доступу.

Автор статьи: Олег Ржевский