第5章 終端服務及應用程序和服務器虛擬化

第5章終端服務及應用程序

和服務器虛擬化終端服務——讓相對性能較差的客戶端計算機在遠程服務器上直接運行要求較高運算量的應用程序，好像這些程序是直接在本地計算機上運行。終端服務會話Broker（TSSessionBroker）服務可簡化大量負載平衡終端服務器的設置工作。終端服務網關（TSGateway）服務使得授權用戶可通過Internet直接連接到終端服務器，不需要配置VPN服務器。另外RemoteApp

功能使得我們可直接將特定應用程序（而非整個遠程桌面）部署給網絡中的客戶端。1第5章終端服務及應用程序

和服務器虛擬化服務器和應用程序虛擬化——Hyper-V是微軟的一款虛擬化產品。Hyper-V設計的目的是為用戶提供更為熟悉以及成本效益更高的虛擬化基礎設施軟件，降低運作成本、提高硬件利用率、優(yōu)化基礎設施并提高服務器的可用性。虛擬化技術可以定義為將一個計算機資源從另一個計算機資源中剝離的一種技術。在沒有虛擬化技術的單一情況下，一臺計算機只能同時運行一個操作系統(tǒng)，雖然可以在一臺計算機上安裝兩個甚至多個操作系統(tǒng)，但同時運行的操作系統(tǒng)只有一個；而通過虛擬化可以在一臺計算機上同時啟動多個操作系統(tǒng)，每個操作系統(tǒng)上可以有許多不同的應用，多個應用之間互不干擾。2第5章終端服務及應用程序

和服務器虛擬化第1課終端服務第2課服務器和應用程序虛擬化3第1課終端服務本課將介紹在為企業(yè)規(guī)劃WindowsServer2008

終端服務角色的部署時，需要考慮的授權策略，以及一些新技術（例如TS會話Broker服務）對企業(yè)總部和分支辦公室站點部署終端服務器產生的影響。規(guī)劃終端服務基礎架構規(guī)劃終端服務授權配置和監(jiān)控終端服務配置終端服務會話Broker規(guī)劃終端服務網關服務器的配置45.1.1規(guī)劃終端服務器基礎架構終端服務器可以為客戶端提供通過遠程方式訪問的桌面?？蛻舳酥恍枰惭b兼容的遠程桌面協議（RemoteDesktopProtocol，RDP），即可連接到承載其他內容的終端服務器。

使用工作站直接運行最少量的軟件，并且只需要很少的維護。用戶數據永遠保存在中央位置，而不需要保存在用戶的工作站上，這樣可簡化數據的備份和恢復工作。反間諜和反病毒軟件的安裝和更新都在終端服務器上進行，可確保所有定義文件都是最新的。這種情況下不需要更新安裝在每位用戶工作站上的應用程序，可以集中進行更新。55.1.1規(guī)劃終端服務器基礎架構要求到終端服務器的遠程桌面連接要具有高帶寬和低延遲。需要在每個分支辦公室站點部署終端服務器。還需要結合連接到終端服務器的客戶端的數量，以及在每個位置部署終端服務器的成本，綜合進行權衡。65.1.1規(guī)劃終端服務器基礎架構1、規(guī)劃終端服務器硬件終端服務器需要強大的處理器和大量內存。每個客戶端會話都要使用終端服務器的硬件和資源，因此應當考慮部署x64版本的WindowsServer2008Enterprise或Datacenter版本作環(huán)境中的終端服務器。應盡量避免使用虛擬化的終端服務器。還可使用一些工具，例如Windows系統(tǒng)資源管理器、性能監(jiān)視器決定終端服務客戶端的內存和處理器使用情況。一旦確定了終端服務器的資源使用情況，就可以決定需要怎樣的硬件資源，并能充分估計出終端服務器的整體客戶端容量。75.1.1規(guī)劃終端服務器基礎架構2、規(guī)劃終端服務器軟件先安裝“終端服務器”角色，后安裝客戶端連接到終端服務器后需要使用的軟件。規(guī)劃出測試期，以免應用程序之間會產生沖突。85.1.2終端服務授權連接到終端服務器的所有客戶端都需要一種稱為“終端服務客戶端訪問許可”（TSCAL）的特殊授權。該授權是獨立的，通過TS許可證服務器管理。在規(guī)劃TS許可證服務器的部署時，需要考慮：許可證服務器的作用域是怎樣的？如何激活許可證服務器？需要部署哪種類型的授權？需要多少臺許可證服務器？許可證服務器的版本？95.1.2終端服務授權1.許可證服務器作用域許可證服務器的搜索范圍（Discoveryscope）決定了哪些終端服務器和客戶端可以自動發(fā)現該許可證服務器。許可證服務器的作用域是在安裝TS許可證服務器角色服務時配置的，也可以在設置完畢后更改。搜索范圍有三個選項：此工作組、此域、林。此工作組：通常用在許可證服務器和終端服務角色處于同一臺計算機的情況下，同一個工作組中的終端服務器和客戶端可以自動發(fā)現該許可證服務器。此域：域搜索范圍使得同屬于該域的終端服務器和客戶端可以自動申請TSCAL。林：林搜索范圍使得位于同一個ActiveDirectory林中的終端服務器和客戶端可以自動申請TSCAL，不足之處在于在具有太多域的大型林中，可能需要頻繁申請TSCAL。105.1.2終端服務授權2.許可證服務器的激活在TS許可證服務器頒發(fā)CAL之前，必須使用類似Windows產品激活的機制，將該服務器激活。激活過程中會獲得由微軟頒發(fā)的數字證書，以驗證服務器的所有權，以及安裝在TS許可證服務器上的標識符。許可證服務器可通過三種方式激活：

通過向導的方式進行。該方法要求服務器必須使用SSL連接直接訪問Internet，某些防火墻配置下，可能無法使用。通過網頁進行。該方法可用于在許可證服務器外的其他計算機上操作，適合網絡基礎架構無法直接從內部網絡向外部網絡創(chuàng)建SSL連接的環(huán)境。用電話聯系微軟Clearinghouse中心。（免費電話）115.1.2終端服務授權3.終端服務客戶端訪問授權

WindowsServer2008TS許可證服務器可頒發(fā)兩種類型的CAL：每設備CAL和每用戶CAL。TS每設備CAL：TS每設備CAL可以讓特定計算機或設備連接到終端服務器。TS每用戶CAL：TS每用戶CAL可以讓特定用戶帳戶，用任何一臺計算機或設備，連接到企業(yè)內的任何終端服務器。如果許可證服務器可以直接創(chuàng)建到Internet的SSL連接，則可自動購買TSCAL?；蛘?，在激活許可證服務器時，也可使用其他連接到Internet的計算機瀏覽網站，或打電話給微軟Clearinghouse，直接購買TSCAL。125.1.2終端服務授權4.備份和恢復許可證服務器要備份TS許可證服務器，需要備份計算機的系統(tǒng)狀態(tài)數據，以及保存TS授權數據庫的文件夾。要恢復許可證服務器，請重建服務器，重新安裝TS許可證服務器角色，恢復系統(tǒng)狀態(tài)數據，然后恢復TS授權數據庫。如果要恢復到其他計算機，則無法恢復未頒發(fā)的授權，需要重新聯系微軟Clearinghouse以獲得這些授權。135.1.2終端服務授權5.許可證服務器的部署在規(guī)劃WindowsServer2008終端服務器的部署時，如果環(huán)境中的終端服務需要運行于老版本的微軟服務器操作系統(tǒng)，則需要考慮一個問題，WindowsServer2003TS許可證服務器和Windows2000ServerTS許可證服務器無法為WindowsServer2008終端服務器頒發(fā)授權。然而WindowsServer2008終端服務器可支持老版本的終端服務。如果企業(yè)計劃在一定時期內需要有WindowsServer2003終端服務器與WindowsServer2008終端服務器共存，則應當首先升級企業(yè)的許可證服務器為WindowsServer2008，這樣才能支持新的和老的終端服務器。145.1.3配置終端服務器在規(guī)劃終端服務器的部署時，一定要注意，有些配置設置會應用到整個終端服務器和協議的層面上，而我們需要進行的大部分配置設置都只需要應用到協議層面上。要在協議層面上修改設置，可打開終端服務配置控制臺，該控制臺位于管理工具菜單的終端服務子菜單下。隨后用鼠標右鍵單擊“連接”區(qū)域的RDP-Tcp

項，并選擇“屬性”即可。這樣可以打開RDP-Tcp

屬性對話框。155.1.3配置終端服務器管理員可以配置安全層、加密級別以及其他連接安全設置。安全層的默認設置是“協商”，而加密級別的默認設置是“客戶端兼容”。安全層設置還可用于配置服務器的驗證，也就是服務器向客戶端證明自己身份的方法。加密級別選項可用于保護終端服務器的內容不被第三方竊聽。有下列選項可用：高：該級別的加密使用128位密鑰。符合FIPS標準：主要被政府機構使用。

客戶端兼容：該方法會通過與客戶端進行協商，確定并使用客戶端可支持的最強密鑰。低：從客戶端發(fā)往服務器的數據被使用56位密鑰加密，從服務器發(fā)往客戶端的數據完全不被加密。165.1.3配置終端服務器使用組策略配置終端服務在大型終端服務器部署中，不需要針對每臺服務器分別配置RDP-Tcp

連接設置，以及終端服務器屬性?？赏ㄟ^ActiveDirectory進行應用，所有相關選項都位于組策略的“計算機配置\策略\管理模板\Windows組件\終端服務\終端服務器”節(jié)點下，該節(jié)點下還包含多個子節(jié)點，所對應的功能都可和直接針對服務器設置的選項相對應。175.1.3配置終端服務器連接設備和資源重定向授權打印機重定向配置文件遠程會話環(huán)境安全會話時間限制臨時文件夾

TS會話Broker

從管理員角度看，如果管理員需要規(guī)劃終端服務的部署，則最重要的策略都位于“連接”和“會話時間限制”節(jié)點下。通過使用這些節(jié)點，即可控制每臺終端服務器可接受多少客戶端的連接，以及創(chuàng)建的連接可保持多長時間，這些因素都將影響到終端服務器的容量。185.1.4TSWeb訪問終端服務Web訪問（TSWeb訪問）使得客戶端可以通過Web網頁鏈接連接到終端服務器。而不需要在遠程桌面連接客戶端軟件中輸入終端服務器的地址。客戶端要連接，需要使用已經安裝在客戶端計算機上的RDC客戶端軟件。TSWeb訪問必須安裝在要提供此類訪問服務的終端服務器上，同時要部署TSWeb訪問，不僅要安裝“TSWeb訪問”服務器角色，還需要安裝”Web服務器”角色以及一個叫做“Windows進程激活服務”的功能。TSWeb訪問不適合負載平衡終端服務器。195.1.5終端服務器會話Broker終端服務器會話Broker（TS會話Broker）角色服務可簡化擴容導致的麻煩，并使得負載可在一組終端服務器之間進行平衡，并將客戶端重新連接到組中原有會話所在的服務器上。在TS會話Broker術語中，一組終端服務器即可叫做一個“場”。TS會話Broker服務包含了一個數據庫，其中會記錄終端服務器的會話信息。TS會話Broker可配合DNS循環(huán)或網絡負載平衡功能使用，以便將客戶端分散到不同的終端服務器。205.1.5終端服務器會話Broker要在企業(yè)中部署TS會話Broker負載平衡功能，必須首先確?？蛻舳酥С諶DP5.2或更新版本。要將終端服務器加入到場，此時可使用終端服務配置MMC，該工具可從管理工具菜單的終端服務子菜單下找到。還必須將終端服務器的ActiveDirectory計算機帳戶添加到承載TS會話Broker服務的計算機的SessionDirectoryComputers本地組中。在完成上述任務后，需要在場中的每臺服務器上配置負載平衡功能。215.1.6監(jiān)控終端服務需要定期監(jiān)控終端服務器，以確保用戶使用正常，以及確保終端服務器依然有足夠的硬件資源以承擔該角色的任務。終端服務器的硬件瓶頸主要是處理器和內存資源，因此在監(jiān)控時，需要尤其注意這些資源的使用情況。可使用兩個工具管理和監(jiān)控終端服務器的資源：系統(tǒng)監(jiān)視器和Windows系統(tǒng)資源管理器。225.1.6監(jiān)控終端服務1、使用系統(tǒng)監(jiān)視器監(jiān)控終端服務除了常用的WindowsServer2008監(jiān)控工具，系統(tǒng)監(jiān)視器中還包含很多與終端服務器相關的性能計數器，可幫助判斷在承載了終端服務的服務器上，客戶端會話的性能處于怎樣的情況下。需要的兩類計數器都位于“TerminalServices”和“TerminalServicesSessions”類別下，其中“TerminalServices”類別的計數器監(jiān)控的是活動會話和不活動會話的數量以及總數；“TerminalServicesSessions”類別的計數器監(jiān)控的是不同資源的使用情況?？墒褂迷擃悇e的計數器監(jiān)控內存和處理器的使用情況，并獲得非常詳細的排錯信息，例如幀錯誤的總數，以及協議緩存的命中率等。235.1.6監(jiān)控終端服務2、Windows系統(tǒng)資源管理器WSRM（WindowsSystemResourceManager）是WindowsServer2008上一個可安裝的功能，該功能可控制資源的分配情況，供管理員用于應用WSRM策略。WSRM包含四個默認策略。另外管理員也可以創(chuàng)建自己的策略。在這些策略中，有兩個策略對需要負責規(guī)劃和部署終端服務基礎架構的人比較有用。Equal_Per_User（每用戶均等）策略可確保每個用戶被分配均等的資源，哪怕某位用戶比其他用戶在終端服務器上連接了更多會話也是如此。Equal_Per_Session（每會話均等）策略可確保每個會話被分配均等的資源。如果在允許用戶創(chuàng)建多個會話的服務器上應用該策略，那么這個策略就可以讓用戶獲得比只使用一個會話的用戶更多的系統(tǒng)資源。245.1.7終端服務網關TS網關可讓Internet客戶端用安全、加密的方式訪問位于企業(yè)防火墻內部的終端服務器，而不需要部署虛擬專用網絡（VPN）解決方案。TS網關需要通過RDP協議使用安全超文本傳輸協議（HTTPS）。TS網關服務器可使用連接授權策略和資源授權策略進行配置，這主要取決于不同的終端服務器訪問方式，以及網絡資源的具體情況。連接授權策略可實現基于管理員預先指定的條件進行的訪問，而資源授權策略可根據用戶帳戶屬性將訪問分配給指定的終端服務器資源。連接授權策略的特殊之處在于，TS網關服務器還可配合網絡訪問保護（NAP，NetworkAccessProtection）功能一起使用。NAP會對客戶端執(zhí)行健康程度檢查。25本課小結終端服務器許可證服務器必須首先激活，然后才能安裝TSCAL。許可證服務器的搜索范圍決定了哪些客戶端和TS服務器可以自動監(jiān)測到該服務器。TS會話Broker使得我們可創(chuàng)建終端服務場。它可配合DNS循環(huán)或網絡負載平衡技術一起使用。TSWeb訪問使客戶端可以使用瀏覽器內的快捷方式連接到終端服務器，不過依然要求客戶端安裝有最新的RDC軟件。TS網關服務器可以讓客戶端從Internet連接到防火墻后面的終端服務器，而不需要實施VPN解決方案。26第2課服務器和應用程序虛擬化兩種不同類型的虛擬化技術：服務器虛擬化應用程序虛擬化規(guī)劃Hyper-V的部署規(guī)劃TSRemoteApp的部署規(guī)劃應用程序虛擬化的部署275.2.1Hyper-VHyper-V是WindowsServer2008中的一項功能，它直接作為角色內建于操作系統(tǒng)中，并不是一個應用程序，而且可以運行64位虛擬機。特點：硬件資源的使用效率更高?？捎眯愿撸瑢⒎照系揭惶子布脚_上，可以降低成本和維護費用。只需要偶爾提供的服務角色沙盒更大的容量更好的可移植性更簡單的備份和恢復。281、創(chuàng)建虛擬機從“虛擬機管理”控制臺中運行“新建虛擬機向導”即可。為虛擬機指定名稱和位置指定內存分配情況指定網絡設置指定虛擬硬盤指定操作系統(tǒng)的安裝選項5.2.1Hyper-V295.2.1Hyper-V2、虛擬化候選項一個企業(yè)版授權還包括4個虛擬機實例的授權。需要在分支辦公室位置使用WDS服務部署任務，但不希望投入額外的硬件。在同一服務器上承載兩個互相之間有沖突的應用程序。開發(fā)人員需要對應用程序進行測試。對于有較高I/O需求或較高CPU需求的服務器，不宜進行虛擬化。305.2.1Hyper-V3、對現有服務器進行虛擬化如果需要將現有服務器進行虛擬化，需要將服務器從原有硬件移動到虛擬化分區(qū)中。兩個工具：VirtualServerMigrationToolkit（VSMT）——命令行工具，適合小數量遷移，只能遷移，不能管理。SystemCenterVirtualMachineManager——可管理大量虛擬機，需要SQLServer數據庫支持，可以遷移，也可以實現監(jiān)控、管理等。315.2.2管理虛擬化的服務器Hyper-V管理器，可用于管理虛擬網絡，編輯和查看磁盤，抓取快照，恢復快照，刪除快照以及編輯每個虛擬機的設置?？煺眨禾摂M機的時間點備份。優(yōu)勢在于，可以將操作系統(tǒng)用其他技術無法比擬的速度快速回滾為以前的狀態(tài)。授權：在虛擬化環(huán)境中運行的所有操作系統(tǒng)都需要授權。修改硬件設置：修改虛擬機的設置。既可以增加資源，還可以配置其它選項。325.2.3終端服務RemoteAppRemoteApp和普通的終端服務器會話有所不同，因為前者不再需要連接到用于顯示遠程計算機的桌面的窗口，而是可以直接顯示在終端服務器上執(zhí)行的應用程序，就好像在本地執(zhí)行一樣。應用程序需要的所有內存、磁盤和處理器資源都由承載該應用程序的終端服務器提供，而不是由客戶端計算機承擔。如果有多個應用程序需要通過同一臺宿主服務器處理，則所有這些應用程序都可以通過同一個會話提供給客戶端。335.2.3終端服務RemoteAppRemoteApp具有如下優(yōu)勢：應用程序的更新更易于部署。更新程序只需要應用到終端服務器，而不需要分別應用給所有客戶端計算機。應用程序的升級路徑更簡單。和應用程序的更新類似，這種情況下只需要升級安裝在終端服務器上的應用程序即可，客戶端計算機不需要升級即可使用最新版本。345.2.3終端服務RemoteApp可以使用三種方法將TSRemoteApp

部署給企業(yè)中的客戶端：創(chuàng)建RDP快捷方式文件，并將該文件分發(fā)給客戶端計算機。為此，可以將RDP快捷方式放在共享文件夾中。創(chuàng)建并分發(fā)WindowsInstaller包。讓客戶端連接到“TSWeb訪問”網站，并從頁面上的鏈接啟動RemoteApp

應用程序。35Hyper-V可為整個操作系統(tǒng)以及系統(tǒng)承載的不同應用程序和服務創(chuàng)建獨立的分區(qū)空間，而應用程序虛擬化技術還可以為特定的應用程序創(chuàng)建這樣的分區(qū)空間。微軟應用程序虛擬化（MAV），也就是以前的SoftG