第11章-終端服務

第11章-終端服務本章的任務介紹什么是遠程桌面在服務器上啟用遠程桌面功能，在客戶端使用客戶端軟件連接到服務器在服務器上安裝終端服務配置和管理終端服務發(fā)布桌面應用程序在客戶端通過Web方式訪問終端服務和應用程序11.1遠程桌面11.1.1為什么需要遠程桌面為什么需要遠程桌面服務器通常放在機房內(nèi)，機房內(nèi)電磁輻射大、噪音大、空間小，不是管理員的久留之地。通常管理員除了安裝服務器硬件、初次安裝操作系統(tǒng)或者數(shù)據(jù)庫等軟件、巡檢時才會到機房，他們是在自己的辦公桌上配置服務器。這就需要用到遠程桌面，使得管理員能夠遠程管理服務器。遠程桌面簡介管理員通過網(wǎng)絡連接到服務器上，使用Windows的操作界面遠程控制服務器，就像管理員站在服務器的跟前一樣。管理員在自己的計算機（稱為客戶端）移動鼠標、單擊鼠標、鍵盤輸入等，通過專門的協(xié)議（RDP，RemoteDesktopProtocol，遠程桌面協(xié)議）將這些指令傳到服務器上，服務器執(zhí)行后又通過RDP協(xié)議將結果傳回到客戶端?？蛻舳藘H僅是從鍵盤、鼠標等接收管理員的指令，或者顯示服務器執(zhí)行后的結果，它僅僅是一個輸入/輸出設備而已，真正負責運算的是服務器上的CPU，我們可以把客戶端看成是服務器上的鍵盤線、鼠標線和顯示器線的延長而已。RDP協(xié)議使用傳輸層的TCP3389端口。11.1.2在服務器上允許遠程桌面連接在WindowsServer2008中，已經(jīng)內(nèi)置了遠程桌面連接功能，但是只允許不超過2個用戶連接到服務器。默認時只有Administrator可以進行遠程連接，可以在圖11-2中，單擊“選擇用戶”把其它用戶加入。此外，如果設置Windows防火墻，應該把“遠程桌面”設為例外11.1.3在客戶端上遠程連接到服務器安裝遠程桌面客戶端程序:客戶端要連接到服務器需要安裝遠程桌面客戶端程序（TerminalServicesClient），默認時Windows操作系統(tǒng)已經(jīng)安裝了遠程桌面客戶端程序。建議版本為6.0以上，客戶端程序可以到微軟的下載中心免費下載遠程桌面的使用遠程桌面的高級設置本地資源設置程序設置可以設置遠程桌面連接成功后會自動啟動的程序，該程序是在終端服務器上執(zhí)行的，登錄成功后，將會看到該程序的界面，而看不到桌面；程序退出后，會自動注銷遠程桌面連接。體驗設置可以根據(jù)連接線路的帶寬來優(yōu)化連接的性能，實際上是在使用低速連接時關閉一些不重要的功能，例如“桌面背景”、“菜單和窗口動畫”等以減小通信量。高級設置服務器身份驗證將驗證您是否連接到正確的遠程計算機或服務器。此安全措施可阻止未經(jīng)授權的遠程計算機攔截數(shù)據(jù)。11.2終端服務11.2.1為什么需要終端服務提高服務器硬件資源的利用率:當前服務器硬件性能已經(jīng)很好，CPU的利用率通常維持在低水平狀態(tài)。通過使用終端服務，企業(yè)可以提高服務器的利用率，同時延長桌面系統(tǒng)硬件的使用期限。因為整個系統(tǒng)的所有處理任務都是在服務器端完成的，桌面系統(tǒng)基本上就是一個啞終端，這意味著現(xiàn)有的桌面系統(tǒng)硬件可以選用較為低端、甚至是即將淘汰的桌面系統(tǒng)硬件，降低成本。用戶可以托管單個應用而非整個對話用戶可以隨地訪問“工作”計算機應用維護更簡便桌面系統(tǒng)受到攻擊的可能性降低11.2.2安裝終端服務11.2.2安裝終端服務11.2.2安裝終端服務11.2.2安裝終端服務11.2.2安裝終端服務11.2.2安裝終端服務客戶端連接到終端服務器客戶端連接到終端服務器，有兩種方式：使用客戶端程序，見前面的小節(jié)使用瀏覽器，見后面的小節(jié)11.4。11.2.4終端服務配置RDP-Tcp連接屬性安全層說明SSL(TLS1.0)SSL(TLS1.0)將用于服務器身份驗證以及對服務器與客戶端之間傳輸?shù)乃袛?shù)據(jù)進行加密。協(xié)商（這是默認設置）將使用客戶端支持的最安全的安全層。如果支持

SSL(TLS1.0)，則使用

SSL(TLS1.0)。如果客戶端不支持

SSL(TLS1.0)，則使用

RDP安全層。RDP安全層服務器與客戶端之間的通信將使用本機

RDP加密。如果選擇

RDP安全層，則無法使用網(wǎng)絡級身份驗證。加密級別含義低使用56為加密算法對從客戶端到服務器的數(shù)據(jù)進行加密，但從服務器發(fā)向客戶端的數(shù)據(jù)不加密客戶端兼容以客戶端支持的最大密鑰強度加密客戶端和服務器端之間的通信，如果客戶端軟件新舊混合，請選擇此級別高使用128為加密算法對從客戶端和服務器的之間數(shù)據(jù)進行加密，如果客戶端不支持加密此加密算法會導致無法連接

符合FIPS標準使用Microsoft加密模塊，用FIPS加密算法加密客戶端和服務器之間的通信RDP-Tcp加密級別登錄設置會話設置當會話達到限制或者連接被中斷時，可以選擇將用戶從會話中斷開連接或結束會話。會話結束后會話會永久地從服務器中刪除，而任何運行的應用程序都會強行退出，這可能會導致數(shù)據(jù)丟失。當已斷開的會話達到會話限制時，此會話將結束，并永久地從服務器上刪除。也可以允許會話不確定地繼續(xù)執(zhí)行。環(huán)境設置設置客戶機登錄后啟動的應用程序遠程控制遠程控制是從一個會話遠程控制另一個會話客戶端設置可以控制遠程計算機的本地資源是否在遠程桌面中顯示出來網(wǎng)卡設置權限設置服務器屬性默認時終端服務器會為每個新的會話創(chuàng)建單獨的臨時文件夾，使得每個用戶可以存儲各自的臨時文件，可以設置服務器不為每個會話創(chuàng)建單獨的文件夾，而讓所有的會話使用共同的文件夾。用戶注銷時會刪除這些臨時文件夾，也可以設置用戶注銷時不刪除這些文件夾。如果設置每個用戶只能進行一個會話，將只允許每個用戶進行一個遠程桌面連接，如果相同用戶打開另一個連接，前面的連接會被中斷。

授權設置11.2.5終端服務管理“用戶”選項卡用鼠標右擊某一用戶可以斷開、復位、注銷、遠程控制會話或者向用戶發(fā)送消息?！皶挕边x項卡可以查看連接到終端服務器的會話信息“進程”選項卡11.2.6許可證服務器遠程客戶在登錄到終端服務器時必須收到由終端服務器許可證服務器頒發(fā)的有效許可，否則在客戶首次登錄的120天后，終端服務器會停止它們的連接請求，因此要在網(wǎng)絡中安裝許可證服務器并激活許可證服務器。激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器激活許可證服務器11.3TSWeb訪問在客戶端除了使用客戶端軟件（TerminalServicesClient）連接終端服務器，也可以使用Web方式連接終端服務器。在服務端需要安裝“TSWeb訪問”角色服務。客戶端使用Web方式連接終端服務器步驟在瀏覽器中輸入://服務器名或者IP地址/ts，輸入用戶名和密碼客戶端的計算機需要安裝TSWeb訪問插件（終端服務ActiceX客戶端）才能在瀏覽器連接終端服務器11.4RemoteApp程序11.4.1什么是TSRemoteApp？TSRemoteApp使程序可以通過終端服務進行遠程訪問，就好像運行在最終用戶的本地計算機上一樣。這些程序稱為

RemoteApp程序。RemoteApp程序與客戶端的桌面集成在一起，而不是在遠程終端服務器的桌面中向用戶顯示。RemoteApp程序在自己的可調(diào)整大小的窗口中運行，可以在多個顯示器之間拖動，并且在任務欄中有自己的條目。如果用戶在同一臺終端服務器上運行多個

RemoteApp程序，RemoteApp程序?qū)⒐蚕硗粋€終端服務會話。用戶可以通過多種方式訪問

RemoteApp程序。在本地計算機上打開

RemoteApp程序之后，用戶可以與正在終端服務器上運行的該程序進行交互，就好像它們在本地運行一樣。11.4.2發(fā)布應用程序11.4.2發(fā)布應用程序11.4.2發(fā)布應用程序11.4.2發(fā)布應用程序11.4.2發(fā)布應用程序可以創(chuàng)建WindowsInstaller程序包，則用戶使用該程序包安裝后，使用快捷方式就能訪問應用程序11.4.2發(fā)布應用程序在“快捷方式圖標”區(qū)，可以選擇安裝程序后是否在桌面或者“開始”菜單創(chuàng)建快捷方式；在“接管客戶端擴展”區(qū)，可以選擇是否將應用程序和相應的文件進行關聯(lián)，例如打開“.doc文件”11.4.3訪問應用程序有三種方式可以訪問應用程序：rdp文件Web訪問方式WindowsInstaller程序包rdp文件把在上一節(jié)創(chuàng)建的rdp文件發(fā)送給客戶，在客