Настройка сервера терминалов в Windows Server 2008
Сергей «grinder» Яремчук (grinder@ua.fm, tux.in.ua)
В состав Win2k8 входит полнофункциональная и высокопроизводительная версия служб терминалов, обеспечивающая поддержку 32 битного изображения, передачу звука, перенаправление локальных принтеров и COM-портов, сопоставление дисков, повышенную масштабируемость и отказоустойчивость. С ней организация удаленного безопасного многопользовательского доступа к приложениям для администратора уже не станет сложной задачей.
Содержание:
Новые возможности службы терминалов
Возможность удаленного запуска программ, установленных на сервере, была реализована еще во времена гигантских мэйнфреймов. С переходом на персональные компьютеры, появлением быстрых каналов и увеличением мощности систем технологии терминального доступа обрели вторую жизнь. К числу основных преимуществ применения служб терминалов стоит отнести:
- Уменьшение затрат на оборудование: так как все вычислительные операции выполняются на сервере, а клиентские системы лишь выводят на экраны изображения с сервера, аппаратные требования к терминалам минимальны (например, это могут быть маломощные бездисковые станции под управлением WinCE и Linux).
- Централизованное управление ПО: все программы находятся на одном сервере, это упрощает их установку и обновление.
- Облегчение выполнения службой техподдержки своих обязанностей: TS позволяет администратору не только видеть, что происходит в пользовательском сеансе, но и управлять им.
- Дистанционный доступ: пользователи не привязаны к своему рабочему месту и могут соединяться с TS-сервером из любой точки планеты, где есть интернет, причем подключения с низкой пропускной способностью не станут помехой.
- Простота защиты данных: грамотно применяя объекты групповой политики и перенаправление папок с использованием служб терминалов, можно обеспечить безопасность пользовательских данных (разграничие доступа + резервирование).
Средство удаленного запуска приложений впервые появилось в WinNT 4.0 Server, в выпуске Terminal Server Edition. Начиная с Win2k, это уже полностью встроенный компонент для всех серверных Windows. С каждой новой версией возможности сервера терминалов возрастали, а администрирование становилось более удобным и понятным. И выход Longhorn не стал исключением.
Например, в Win2k8 следует отметить появление шлюза служб терминалов (TS Gateway), который позволяет подключаться к TS и удаленным рабочим столам c любого устройства через небезопасные сети. Шлюз туннелирует RDP сеансы через защищенный HTTPS и создает безопасные соединения между компьютерами, даже если те располагаются за NAT. Такой шлюз может заменить применение VPN при подключении к корпоративной сети, а использование стандартного 443 порта снимает необходимость в перестройке правил межсетевого экрана. Кроме того, конфигурирование настроек и возможность подключения к нескольким терминальным серверам через одну консоль управления заметно упростят процедуру администрирования. Теперь не возникнет путаница с доступом для нескольких серверов, достаточно настроить все один раз на TS Gateway. Если задействуется сервер сетевых политик (NPS) или ISA, то их можно также использовать для проверки политик.
Ранее пользователь долго привыкал к наличию двух рабочих столов (локального и удаленного) и частенько путал, куда сохранять результат своей работы, что обычно заканчивалоь вызовом админа и поиском пропажи. Теперь все это позади. Технология удаленных программ (TS RemoteApp) позволяет запускать приложения с помощью служб терминалов, которые внешне выглядят и ведут себя так, как обычные настольные приложения. При запуске на одном TS нескольких удаленных приложений они делят между собой один общий сеанс. Чтобы пользователи могли получать доступ к RemoteApp, администратор должен сначала их опубликовать.
Веб-доступ к службе терминалов (TS Web Access) – еще одна новинка, позволяющая подключаться к TS, используя веб-браузер, а также получать список доступных приложений RemoteApp. После запуска приложения RemoteApp открывается сеанс TS.
Технология единого входа (Single Sign On) избавляет пользователя от необходимости многократного ввода логинов и паролей, для перехода от одного ресурса к другому повторно вводить учетные данные больше не требуется. Правда, возможность SSO доступна только клиентам Vista и Win2k8. Печать из службы терминалов упрощена. Так пользователь, выполняющий печать из RemoteApp или из сеанса подключения к удаленному рабочему столу, имеет доступ ко всем функциям локального или любого другого доступного на сервере принтера.
В Win2k8 используется обновленная версия протокола удаленного доступа RDP 6 (Remote Desktop Protocol). Однако чтобы воспользоваться всеми возможностями новой версии, понадобится более свежая версия клиента – Remote Desktop Connection (RDC) 6.1. Только в этом случае будут доступны 32 битный цвет, разрешение экрана вплоть до 4096х2048, стиль оформления Vista, сглаживание шрифтов, поддержка нескольких мониторов, PnP девайсов, музыкальных плееров, цифровых камер и сервисов, о которых говорилось выше. Клиент RDC 6.1 по умолчанию входит в состав сервера Win2k8, для Vista включен в SP1, для WinXP – в SP3. Возможна работа и со старой версией клиента, но администратор должен это явно разрешить.
Теперь переходим к установке службы терминалов. Открываем Server Manager, выбираем во вкладке Roles ссылку Add Roles, в списке ролей – Terminal Services, затем в списке служб роли (Role Services) отмечаем те, которые должны быть установлены. В списке предложены 5 служб роли: собственно Terminal Server, обеспечивающий «классическую» функциональность, сервер лицензий (TS Licensing), TS Gateway, TS Web Access и TS Session Broker. В зависимости от назначения сервера, можно все службы роли установить на одном компьютере (если это имеет смысл). Компонент TS Session Broker, входящий в состав не только Win2k8, но и Win2k3 Enterprise и Datacenter Edition, является упрощенной альтернативой службы балансировки (NLB) и выполняет задачу по распределению новых сеансов по наименее загруженным серверам в составе фермы и обеспечению переподключения пользователей к прерванному сеансу. Сервер с TS перед установкой обязательно должен быть присоединен к домену (если таковой имеется), иначе некоторые настройки будут недоступны, а в случае выбора TS Session Broker установка и вовсе прервется. Рекомендуется размещать сервер TS Gateway и TS Web Access в периметре сети, а сам TS – за межсетевым экраном.
Итак, отмечаем нужные пункты (как минимум Terminal Server и TS Licensing). При выборе некоторых вариантов потребуются дополнительные роли, о чем сообщит появившееся окно. Так роль сервера TS Web Access потребует установки роли Web Server (IIS) и Windows Process Activation Service, а выбор TS Gateway – Web Server (IIS) и Network Policy Server. Далее выбираем метод аутентификации. Здесь два варианта, причем установки по умолчанию нет, поэтому придется определиться с выбором. «Require Network Level Authentication» означает, что к серверу смогут подключаться только компьютеры с совместимой версией ОС и терминального клиента Remote Desktop Connection. Другой вариант предназначен для тех случаев, когда имеются клиенты с устаревшей версией RDC (это снижает защищенность сети, так как ранние версии имели проблемы с безопасностью). Следующий шаг позволяет указать режим лицензирования. Здесь пока можно выбрать Configure Later и настроить лицензии позже. После чего переходим к настройке пользователей и групп, которым будет разрешен доступ к TS.
Основные установки закончены. Далее настройки могут отличаться в зависимости от выбранных служб роли. Так если был выбран для установки TS Licensing, то в следующем окне следует указать область, где будет представлен сервер лицензирования. Варианта три: workgroup, domain и forest. В зависимости от текущих настроек сервера, на котором производится установка, некоторые пункты будут неактивны. По умолчанию хранилище лицензий респолагается в Windowssystem32LServer, при помощи кнопки Browse можно указать другой каталог.
Если выбран TS Gateway, мастер запросит SSL сертификат, который будет использован для работы по защищенному протоколу HTTPS. Если в организации есть центр сертификации, то можно экспортировать созданный им сертификат. Иначе возможно использование самоподписанного сертификата (Create a self-signed certificate for SSL Encryption). Этот вариант рекомендуется для тестовых целей или небольших организаций. Для TS Gateway также понадобится создать политику авторизации (Authorization Policy), в которой определяются группы пользователей, которые смогут подключаться к шлюзу TS. По умолчанию такое подключение разрешено только членам группы Administrators. Кроме ввода пароля, возможно использование Smart Card. Если TS в организации несколько, здесь же можно указать, к каким из них будут подключаться конкретные пользователи. Таким образом, еще на этапе установки можно гибко настроить систему, разрешив работу через незащищенные сети только определенной группе.
Рис. 1. Для работы некоторых role services понадобятся другие роли
Если устанавливается IIS, то специальный пункт настроек будет посвящен выбору отдельных его компонентов. Далее проверяем в последнем окне свои установки, обращаем внимание на то, что для корректной работы в режиме TS некоторые приложения, возможно, придется переустановить. Расширенные настройки безопасности IE также будут выключены.
По завершению установки потребуется перезагрузка, после которой в систему будут добавлены еще некоторые элементы, в частности оснастки консоли MMC. В итоге появится окно Installation Result с резюме. Если в ходе установки TS Licensing не настраивался, появится предупреждение о том, что режим лицензирования не настроен, и показано количество дней до окончания льготного периода.
Собственно с этого момента пользователи, которым был разрешен доступ к TS, уже могут подключаться. Если был установлен TS Web Access, то, набрав в браузере адрес http://127.0.0.1/ts, можно проверить его работу.
Настройки службы терминалов производятся в Server Manager. В меню Roles после установки появится дополнительный пункт Terminal Services. Как и для всех других компонентов Win2k8, в основном окне выводятся все сопоставленные события, состояние отдельных сервисов и список установленных служб роли.
Рис. 2. Основные настройки службы терминалов производятся в Server Manager
Здесь же даны рекомендации по дальнейшей настройке. В подменю доступны настройки отдельных сервисов. Кроме того, некоторые консоли можно вызвать из меню Administrative Tools – Terminal Services или из командной строки. Например, для Terminal Services Configuration вводим в терминале или окне Run команду tsconfig.msc.
Кратко просмотрим некоторые основные настройки. Большая часть из них доступна из меню TS RemoteApp. Так нажав на ссылку Change возле надписи Terminal Server Setting, вызываем окно RemoteApp Deployment Setting. Окно состоит из 5 вкладок, в них можно изменить основные параметры сервисов. В частности указать имя TS и другой номер RDP порта, разрешить или запретить (по умолчанию) пользователям запускать программы, не включенные в список (unlisted), настроить параметры подключения к TS Gateway. Во вкладке Digital Signature следует обязательно указать сигнатуру, которая будет использована для подписи rdp файлов, что позволит пользователям проверять их источник. В Common RDP Setting указываются ресурсы (диски, устройства и так далее), которые будут доступны после подключения, а также количество цветов и сглаживание шрифтов. Дополнительные параметры RDP соединения можно указать на вкладке Custom RDP Settings. Подробную информацию по всем возможным параметрам можно найти в документе по адресу support.microsoft.com/kb/885187/en-us.
Чтобы удаленные пользователи могли подключаться подключаться к рабочему столу нажатием одной кнопки TS Web Access, кликаем по ссылке Change, которая расположена возле подписи «A remote desktop connection for this server is not visible in TS Web Access», и отмечаем флажок в поле Remote desktop access.
Рис. 3. При помощи TS Web Access можно подключиться к TS
Список приложений, которые будут доступны для работы с TS, настраивается меню TS RemoteApp. Но перед тем, как добавить сюда программу, вначале следует ее правильно установить. Для этого в Control Panel выбираем пункт Install Application on Terminal Server, откроется мастер установки приложений. Хотя он и подписан как «Floppy disk and CD-ROM», можно указать исполняемый файл инсталлятора на локальном диске. Далее программа устанавливается обычным способом. И только по ее окончании нажимаем в мастере кнопку Cancel или Finish, чтобы отменить или зафиксировать установку.
Теперь можно приступать к созданию rdp файла. В настройках TS RemoteApp нажимаем ссылку Add RemoteApp Programs. В окне RemoteApp Wizard добавляем программы в список доступных. По окончании работы мастера в пустовавшем поле RemoteApp Program появится список отобранных программ. Выбираем нужную и вызываем контекстное меню. Чтобы создать rdp файл, достаточно кликнуть пункт Create rdp File, снова появится мастер RemoteApp Wizard. В большинстве случаев можно оставить все предлагаемые по умолчанию установки, нажимая Next. На шаге Specify Package Setting есть возможность изменить настройки сервера терминалов и TS Gateway, к которому будет подключаться клиент при запуске этого файла, и установки сертификата. После создания профильного файла его тут же можно проверить, запустив на локальном компьютере.
При помощи других пунктов контекстного меню можно создать msi файл, показать или убрать из списка TS Web Access. При создании msi файла дополнительно можно настроить вывод ярлыка на рабочий стол и в меню Пуск, установить ассоциации файлов. Установить созданный msi файл на терминальные клиенты можно разными способами, от ручного до применения групповых политик.
Рис. 4. Выбор доступных для работы с TS программ
Просмотреть список терминальных сеансов, их статус, пользователей, процессы можно в меню Terminal Services Manager. Отсюда можно отключить любого пользователя или отправить сообщение.
Лицензирование службы терминалов
Как и в предыдущих версиях системы, служба терминалов требует лицензирования. За раздачу лицензий отвечает специальная служба TS Licensing (Terminal Server Licensing), которая управляет выдачей маркеров для нескольких TS. Доступны два варианта лицензии TS CALs (Client Access Licenses): на пользователя (Per User) или устройство (Per Device). Следует помнить, что в режиме Per User использование одного логина для доступа нескольких пользователей является нарушением лицензии.
Для тестирования работы TS предусмотрен льготный период в 120 дней, в течение которого лицензии не требуются. Но если в предыдущей версии за начало отсчета бралось время первого подключения клиента к серверу терминалов, то сейчас часы начинают обратный отсчет с момента установки. Кроме того, Remote Desktop поддерживает два подключения для административных целей, которые не требуют лицензий.
Рис. 5. Подключаемся при помощи rdp файла
Если сервер лицензий не был настроен при установке, то нужно сделать это сейчас. Для этого в Administrative Tools выбираем TS Licensing Manager, находим в раскрывающемся списке All server свой сервер (он помечен красным крестиком) и в контекстном меню пункт Activate. Появляется Activate Server Wizard. В начале потребуется выбрать метод соединения, здесь лучше оставить «автоматическое» (Automatic connection), как наиболее удобное. Как вариант, для ввода лицензии предлагается использовать веб-браузер или телефон. После соединения с сервером Microsoft вводим данные о компании. В последнем окне смотрим, чтобы был установлен флажок Install Licenses Wizard, который и будет запущен далее. В новом мастере, в окне License Program, указываем программу лицензирования и вводим номер соглашения. При помощи списков на странице Product Version and License Type указываем версию TS, тип лицензии и количество.
Непосредственно лицензирование служб терминала настраивается в консоли Terminal Services Configuration. Находим в окне Edit Setting пункт Terminal Services licensing mode и дважды щелкаем по ссылке, чтобы открылось окно свойств.
Рис. 6. Активируем TS Licensing
Во вкладке Licensing выбираем тип лицезии: Per User или Per Device. По умолчанию сервер лицензирования определяется автоматически (Automatically Discover a license server), если все в порядке, так и оставляем. При возникновении проблем вводим его параметры вручную в Use specified license servers. Выбрав в левой панели Licensing Diagnosis, получаем подробности лицензирования.
Технология служб терминалов, призванная улучшить работу конечного пользователя и облегчить жизнь администратора, продолжает эволюционировать. По сравнению с предыдущими версиями, в реализации службы терминалов Win2k8 было сделано большое количество усовершенствований, расширены функциональные возможности и решены некоторые старые проблемы. Думается, эти нововведения по праву оценят администраторы, в задачу которых входит организация подобного сервиса.
Порядок подключения к TS, вообщем-то, не изменился. Вызываем окно Подключение к удаленному рабочему столу (Пуск – Все программы – Стандартные – Связь) и вводим параметры сервера. Чтобы настроить подключение через TS Gateway, нажимаем на кнопку Параметры (Options), открываем вкладку Дополнительно (Advanced) и жмем Настройки (Settings). По умолчанию в поле Установки соединения (Connection Setting) указано на автоматическое определение параметров TS Gateway. Если сервер находится в одной сети, то обычно проблем не возникает. Иначе выбираем Использовать следующие параметры сервера шлюза TS (Use these TS Gateway server settings), вводим имя сервера и в Способы входа в систему (Logon methods) отмечаем один из способов входа в систему. Здесь доступно три варианта:
- Отложить этот выбор (Allow me to select later) – способ входа будет запрашиваться непосредственно при установке подключения;
- Запрашивать пароль (Asc for password NTLM) – при подключении будет использоваться пароль;
- Смарт-карта (Smart card) – во время установки подключения будет затребована смарт-карта.
Чуть ниже находится флажок Обходить сервер шлюза TS для локальных адресов (Bypass TS Gateway server for local addresses), установка которого разрешит подключаться к серверу терминалов с локальных адресов напрямую, в обход шлюза TS. По умолчанию он установлен, снимать его нужно только если все подключения разрешены исключительно через TS Gateway.
INFO
- Каждый пользовательский сеанс полностью изолирован от других сеансов на этом TS-сервере. Ошибки какой-либо программы в одном сеансе не повлияют на работу других пользователей.
- Создать и получить сертификат, необходимый для работы компонентов TS, можно в консоли Internet Information Services (IIS) Manager – Сертификаты сервера, весь процесс подробно описан в предыдущем номере (X_08_2008), в статье Слоеный VPN.
- Remote Desktop разрешает два подключения для административных целей, которые не требуют лицензий.
- Рекомендуемым является размещение TS Gateway и TS Web Access в периметре сети, а сам TS – за межсетевым экраном.
WWW
- Подробную информацию по всем настройкам RDP можно найти на сайте Microsoft, в документе support.microsoft.com/kb/885187/en-us.
WARNING
- Сервер с TS перед установкой роли рекомендуется присоединить к домену, иначе некоторые настройки будут недоступны.
Статья опубликована в сентябрьском номере журнала «Xakep» за 2008 год.