Server 2008 新技術 - Windows Server 2008 的終端機服務

發佈日期: 2007 年 11 月 16

作者:謝合宜

出處:RUN!PC 雜誌 166 期

在我們談 Windows Server 2008 的終端機服務 (Terminal Service) 的功能改變之前,似乎需要先談談終端機服務到底提供了什麼好處!

本頁內容

使用者經驗的改善
RemoteApp 與 TS Web Access
Terminal ServicesGateway (TS Gateway)
結論

相信大家對於終端機服務的想法可能都停留在「遠端桌面」的使用上,因為透過遠端桌面的功能,管理人員能透過「遠端桌面連線 (Remote Desktop Connection,RDC)」來連結遠端的電腦,經過登入程序後,使用者就如同坐在遠端的電腦前面來進行電腦的使用操作。在 Windows Server2003 上,是透過遠端桌面協定 (RemoteDesktop Protocol, RDP) 來運作,不過遠端桌面是提供給管理人員進行遠端系統設定的功能,所以連線的數量被限制在兩個連線 (session) 而已。

而終端機服務是 Windows 作業系統需要另行安裝的元件,可以提供多人同時連線來進行系統的使用,而且每個使用者的使用環境是獨立而不互相干擾,在這樣的使用下,能夠提到幾個重要的好處:

  1. 非常方便的讓管理人員集中管理應用程式:也就是只需將使用者所需要的應用程式安裝在伺服器端,透過這樣的集中方式可方便管理程式版本與安裝。

  2. 隨處而一致的可存取使用:透過終端機功能,可以讓使用者不管利用怎樣的系統平台或硬體平台 (Windows、非 Windows 或者是 PDA、手機),均能存取使用伺服氣上的 Windows 平台應用程式。所以,即使只是非常低階的硬體配備或非 Windows 平台都一樣可以利用這樣的應用。

  3. 安全而低頻寬的應用:透過 RDP 協定的本身資料加密在結合 VPN 的方式即可達到高安全的連線使用。連線過程的資料傳輸是鍵盤、滑鼠與畫面的變動資料,而非處理的資料本身,因此即使用慢速的數據撥接亦可以得到不錯的使用經驗。

使用者經驗的改善

Windows Server 2008 使用新的 RDP6.0 協定 (原來是 5.1/5.2),所以原來 WindowsServer 2003 的使用解析度最大只 到4:3 比例的 1600*1200,目前已經可以支援寬螢幕的使用 (例如 16:9 或 16:10 的 1920*1200),而最高可支援螢幕解析度為 4096*2048。另外現在也開始支援 Monitor Spanning,也就是多螢幕顯示功能,這個功能只能平行螢幕顯示而不能垂直多螢幕顯示,使用時需所有螢幕解析度與顯示頻率設定為一致,最高總解析度不能超過 4096*2048。這個 Monitor Spanning 功能大概的使用情境我想會適用在後面我們會提到的 RemoteAPP 上。

Windows Server 2008 的終端機服務也支援 32 bit 顏色顯示與 ClearType 字型平滑顯示 (Font Smoothing)。而如果要可以使用如 Windows Vista 般的桌面使用經驗 (如 Aero、佈景主題、Windows Media 等) 則需要先在 Windows Server 2008 另行安裝 Desktop Experience Feature。

至於週邊裝置的重導向,除了舊有的磁碟、印表機之外,現在也提供即插即用裝置的重導向,因此如支援 PTP (Picture TransferProtocol) 的數位相機或使用 MTP (MediaTransfer Protocol) 的媒體播放器等。這些週邊裝置的重導向可以透過群組原則直接定義,也可以透過管理工具中的 Terminal ServicesConfiguration 的 RDP-TCP 設定的 ClientSetting 標籤來處理。(圖 1) 而且對於印表機的轉向有個新功能 - TS Easy Print,這是說我們不需要先在 Terminal Server 安裝所需對應的印表機驅動程式,就能夠讓使用者在終端機連線階段 (不管是完整的連線或只是 RemoteApp 的連線) 直接使用在用戶端電腦所設定好的印表機設定。

Dd125491.58-win2008ts_01(zh-tw,TechNet.10).jpg

圖 1 RDP-Tcp 的用戶端設定。

而對於終端機連線時的身份驗證 (Authentication),Windows Server 2008 提供了三個重要的功能:

  1. Network Level Authentication:傳統的終端機或遠端桌面連線都是先建立連線,然後出現登入畫面來讓使用者輸入帳戶資訊。而這個方式很容易引起阻斷式服務 (DoS) 攻擊,並且會造成伺服器的系統效能變差 (因為已經建立連線)。因此 WindowsServer 2008 透過這個新功能讓使用者的完整連線完成與登入畫面出現之前即可先行完成使用者認證,如此可以減少效能的浪費與被攻擊的風險。這個功能是在安裝 Ter-minal Service 角色的過程就會詢問要不要使用。

  2. Single Sign-On (SSO):原來區域網路的 SSO 功能也延伸到終端機服務了!如果使用者登入電腦已經使用網域使用者帳戶 (使用密碼或 Smart Card),那存取終端機伺服將可不必重複輸入帳戶資訊。(這個功能目前似乎只適用於 Windows Vista 與 WindowsServer 2008 的用戶端)

  3. Server Authentication:透過這個功能來驗證所連結伺服器的正確性以避免偽冒的問題。這個功能預設是啟用的。

當然,目前 Windows Server 2008 對於 64 位元的硬體架構與應用已經提供相當程度大量支援,因此不論是 32 或 64bit 的應用程式都可以在終端機服務的架構來運行,因此可以預期的使用者使用經驗能得到更好的改善。

RemoteApp 與 TS Web Access

除了原來的遠端桌面連線 (RDC) 用戶端程式之外,還有全新的 RemoteApp 與改良過的 TS Web Access!

RemoteApp 是新的連線終端服務的方式,因為舊的連線方式為使用者先開啟 RDC 來建立完整的連線,然後看到連線後的視窗畫面再開啟所需使用的應用程式來完成工作。而 RemoteApp 是透過終端機服務連線的方式,讓使用者可以直接開啟所需要使用的已經事先在伺服器上安裝、處理好的 RemoteApp 程式,這些處理好的 RemoteApp 程式會被處理成為所需的 .msi 或 .rdp 檔(這是純文字檔,描述連接所需的資訊),然後管理員將 .msi 或 .rdp 檔佈署給使用者成為桌面的程式捷徑 (利用 msi 檔的安裝) 或桌面的檔案 (rdp 檔直接儲存),使用者使用時直接點按滑鼠兩下,只需透過帳戶資訊的輸入即可使用 (圖 2),如此的使用方式就如同程式是安裝在使用者本機上一樣。(因為不需先啟動 RDC 再開啟程式了)。

建置佈署方式為管理員先透過 TSRemoteApp Manager 來新增要給使用者的 RemoteApp 程式 (畫面右方的 Action Pane 位置),然後選取適當程式 (或自行瀏覽),程式就會出現在最下方的清單中,接著點選程式然後利用畫面中央的「Other DistributionOptions」來產生所需要的 msi 或 rdp 檔即可完成。(圖 3)

Dd125491.58-win2008ts_02(zh-tw,TechNet.10).jpg

圖 2 TS RemoteApp 連線的畫面。

Dd125491.58-win2008ts_03(zh-tw,TechNet.10).jpg

圖 3 TS RemoteApp Manager 操作畫面。

另一個對使用者來說最方便的莫過於新改良過的 TS Web Access (圖 4),首先可以注意到的是連結網只從以往的 http://ServerName(or IP)/tsweb 調整成 http://ServerName(or IP)/ts,透過瀏覽器的使用也可以直接使用管理員處理好的 RemoteApp,如此更能夠方便進行應用軟體佈署,而且啟動 RemoteApp 時也會提醒使用者來進行相關週邊的重導向 (圖 5)。當然 TS Web Access 也有專屬的管理工具可以使用。

Dd125491.58-win2008ts_04(zh-tw,TechNet.10).jpg

圖 4 TS Web Access 的畫面。

Dd125491.58-win2008ts_05(zh-tw,TechNet.10).jpg

圖 5 週邊裝置重導向的警告訊息。

Terminal ServicesGateway (TS Gateway)

TS Gateway 是 WindowsServer 2008 的 Terminal Service 的新角色服務 (Role Service),也就是在新增終端機服務角色的時候會另外詢問是否安裝的一個服務。TS Gateway 利用 RDP overHTTP S的運作方式,讓任何 Internet 的連線使用者先連結到 TSGateway 伺服器,然後再重導向到更後端的終端機伺服器。(如圖 6)

Dd125491.58-win2008ts_06(zh-tw,TechNet.10).jpg

圖 6 TS Gateway Remote Access。

這樣的架構好處大致可以有:

  1. 直接整合現有的終端機服務架構並可穿越防火牆或 NAT 的限制而延伸到 Internet,且以 SSL 加密的方式運作,因此可以讓使用者不需先建立 VPN 連線再進行企業內部的資源存取。

  2. 提供進階的管理工具,讓管理人員減少管理的負擔,並可控制企業內特定資源的存取並進行遠端連線狀態的監控。

當然我們需要知道建立 TS Gateway 伺服器時的需求:

  1. Windows Server 2008 伺服器。

  2. 一台 NPS 伺服器來集中儲存、管理與驗證 TS Gateway Policies。

  3. 給 TS Gateway SSL 運作的伺服器憑證,可利用 Certificate Server 或使用自我發行 (Self-Signed) 的憑證,這個部份在安裝過程會詢問。(圖 7)

Dd125491.57-moss07app_07(zh-tw,TechNet.10).jpg

圖 7 SSL 憑證的安裝詢問畫面。

安裝好 TS Gateway 伺服器之後,我們可以透過 TS Gateway Manager 管理工具來進行後續設定。(圖 8) 設定的步驟如下:

  1. 首先建立 Connection AuthenticationPolicy (CAP) 來控制使用者是否可以通過 TS Gateway 來存取內部網路。建立 CAP 時可以指定使用者群組 (似乎不能使用 DomainLocal Group) 與電腦群組來控制存取權限,並能夠控制裝置重導向的情形。

  2. 接著建立 Resource Authentication Policy (RAP),透過 RAP 來控制哪些使用者群組可以透過 TS Gateway 連結到後端的哪些伺服器 (這就是所謂的 Resource Group)。

  3. 最後使用者透過新版支援 RDP 6.0 的遠端桌面連線程式 (RDC) 從 Windows XP(withSP2)/Windows Vista/Windows Server2003(with SP1)/Windows Server 2008 的電腦,啟動 RDC 連線程式,點選選項 (Options) 設定中的進階 (Advanced) 標籤最下方的 [Connect from anywhere] 來設定所需的 TS Gateway 設定。(圖 9)

Dd125491.57-moss07app_08(zh-tw,TechNet.10).jpg

圖 8 TS Gateway Manager 管理畫面。

Dd125491.57-moss07app_09(zh-tw,TechNet.10).jpg

圖 9 RDC 的 TS Gateway 設定。

這樣的設定過程,CAP 是控制哪些使用者可以連結到 TS Gateway 伺服器,而 RAP 是控制哪些使用者可以透過 TS Gateway 連線到哪些內部的資源 (伺服器)。

結論

新的 Windows Server 2008 的 TerminalService 提供了不少新的功能讓管理員方便、使用者高興。不過相關的授權管理 (TerminalLicensing) 還是需要先註冊進行啟用動作,不然只有 120 天的試用期。而有關於用戶端連線方式的挑選,我自己認為如果是公司內部的使用者可以使用傳統的 RDC 或新的 RemoteApp;分支辦公室的使用者使用 RemoteApp 或 TS Web Access 會很方便;而對需要到處跑來跑去的行動工作者來說,安全的控管與監控是相當重要的,因此利用 TSGateway 功能是相對好的。

顯示: