Терминальные решения Microsoft Windows Server 2008

Материал из Xgu.ru

Перейти к: навигация, поиск
Короткий URL: TC_lab

Автор: Сергей Черепенин

На этой странице рассматриваются основные усовершенствования терминальных служб Microsoft Windows Server 2008, Microsoft Windows Vista и протокола удалённого доступа RDP 6.

Детально описаны процедуры по активации и использованию этих возможностей.


Содержание

[править] Новые возможности терминальных служб Microsoft Windows Server 2008:

[править] Настройка роли терминального сервера операционной системы Microsoft Windows Server 2008.

Для обеспечения доступа к удалённому рабочему столу или удалённому приложению по протоколу rdp необходимо на удалённом компьютере настроить терминальный сервер. Это выполняется путём назначения роли терминального сервера.

Для настройки роли терминального сервера откройте меню Пуск, затем Programs - Administrative Tools и выберите Server Manager.

В открывшемся окне выберите Roles. Это вызовет мастер настройки роли Add Role Wizard. На шаге Before You Begin нажмите Next. Следующим этапом будет выбор роли сервера Select Server Roles. Выберите роль Terminal Services и нажмите Next два раза.

На этапе выбора роли терминального сервера выберите Terminal Server и нажмите Next два раза.

Далее необходимо будет настроить тип аутентификации пользователей для доступа к терминальному серверу. Выберите пункт Do not require Network Level Authentication и нажмите Next.

Затем необходимо будет определить тип лицензий на терминальный сервер. Выберите пункт Configure later и нажмите Next.

На шаге Select User Groups Allowed Access to This Terminal Server убедитесь, что группа Administrators находится в перечне разрешённых групп для удалённого подключения. Затем нажмите Next два раза.

После завершения процесса установки роли терминального сервера нажмите Close и перезагрузите компьютер.

После загрузки компьютера выполните на терминальном клиенте следующую команду:

mstsc /v:XXX.XXX.XXX.XXX:3389 /w:800 /h:600

где XXX.XXX.XXX.XXX - IP адрес терминального сервера, w и h - ширина и высота в пикселях терминального окна, соответственно (необязательные параметры)



Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_Role.html

[править] Создание .rdp и .msi-файлов.

[править] Terminal Services RemoteApp

Удаленные программы служб терминалов
Удаленные программы — это функция служб терминалов Windows Server 2008, позволяющая клиентским компьютерам подключаться к удаленному компьютеру и работать с установленными на нем программами. Например, рабочее место может включать удаленный компьютер, к которому можно подключаться и работать с приложением Microsoft Word. Администратор должен сначала опубликовать программы, к которым конечные пользователи могли бы получать доступ. Работа с программой, установленной на удаленном компьютере, ничем не отличается от работы в обычных условиях. Но не нужно забывать о том, что доступ к дисковым ресурсам клиентского компьютера будет осуществляться через сеть с сервера, а оборудование, подключенное к терминальному клиенту, будет доступно благодаря работе протокола.

Сначала необходимо настроить терминальный сервер. Затем необходимо установить программное обеспечение на сервер и сделать его доступным для терминальных клиентов.
После этого можно создать файл с расширением .rdp и сохранить его либо на клиенте либо на сетевую папку. При вызове этого файла с клиентского компьютера будет инициироваться rdp сессия, внутри которой откроется приложение. Все ресурсы при этом будут использоваться серверные (к локальным файлам всегда можно получить доступ через сеть).

Минусом создания *.rdp файлов - это отсутствие привязки типа файла к приложению. Эту привязку можно осуществить путем создания специального msi пакета и установкой его на клиентском компьютере. В этом пакете будет находиться только самая необходимая информация о приложении. Например такой msi пакет для Adobe Reader 7.0 будет объемом до ста килобайт, когда сам инсталлятор приложения - около 30Мб. Целью такого пакета являются установка связей между приложениями и создание необходимых ярлыков для пользователей.

Еще одним преимуществом msi пакетов - это простота распространения в сети. Он может быть установлен при помощи Групповых Политик в случае использования домена. Если же домена нет, то этот пакет можно будет потом удалить из Установка/Удаление Программ Панели Управления.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Creating_msi.html

Создать msi пакет можно с помощью консоли TSRemoteAppManager.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Testing_msi.html

Инсталляция на клиентском компьютере и последующее использование внешне ничем не будут отличаться от обычного.

Удаленные программы упрощают администрирование системы, поскольку при этом нужно обновлять и обслуживать только одну копию программы вместо нескольких, установленных на различных компьютерах.

[править] Создание .rdp-файлов

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Creating_rdp_file.html

Для создания .rdp-файла приложения необходимо сначала проинсталлировать это приложение на терминальный сервер.

Для этого откройте Control Panel и выберите пункт Install Application on Terminal Server.

В результате откроется мастер установки приложений на терминальном сервере. В первую очередь необходимо выбрать место расположения инсталлятора приложения. Выберите файл gvim71.exe на компьютере в сети по адресу \\192.168.7.254\inst, нажмите Open и установите это приложение. После завершения установки приложения в окне Finish Admin Install нажмите Finish.

После завершения инсталляции необходимого приложения можно приступать к созданию .rdp-файла.

Для этого откройте консоль TS RemoteApp Manager в папке Terminal Services инструментов администрирования Administrative Tools.

В поле RemoteApp необходимо правым кликом мышки вызвать контекстное меню и выбрать пункт Add RemoteApp Programs.

В результате откроется мастер RemoteApp Wizard, с помощью которого необходимо добавить только что проинсталлированное приложение в список удалённых программ.

Затем с помощью контекстного меню необходимо еще раз запустить мастер RemoteApp Wizard.

Во время работы этого мастера сохраните .rdp-файл в папку c:\remoteapp, которую можно создать и сделать доступной по сети для группы Everyone в окне выбора места сохранения этого файла.

Теперь выполните этот файл на терминальном клиенте для проверки удаленного запуска приложений.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Testing_rdp_file.html

[править] Создание .msi-файлов

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Creating_msi.html

Для создания .msi-файла необходимо проинсталлировать приложение на терминальный сервер с помощью мастера установки приложений на терминальный сервер. Происталлируйте таким образом Acrobat Reader, инсталлятор которого находится по адресу \\192.168.7.254\inst\AdbeRdr705_rus_full.exe

Затем с помощью консоли TS RemoteApp Manager необходимо добавить Acrobat Reader в список удаленных программ и вызвать из контекстного меню по правому клику на приложении мастер RemoteApp Wizard для создания .msi-файла. Во время работы этого мастера можно настроить ярлыки рабочего стола, папку меню Пуск и установить ассоциации файлов к этому приложению.

Для установки созданного .msi-пакета на терминальные клиенты можно использовать различные методы, от установки с помощью Групповых политик до ручного инсталлирования. Установите полученный .msi-пакет на клиентском компьютере и проверьте работоспособность этого удаленного приложения.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Testing_msi.html

[править] Создание web-сайта для обеспечения доступа к удалённым приложениям и рабочим столам корпоративной сети.

Terminal Services Web Access (TS Web Access) - это роль терминального сервера, которая обеспечивает и контролирует доступ к RemoteApp™ программам или рабочим столам компьютеров офисной сети через браузер.
Преимуществами TS Web Access являются:

  • Простота использования. Пользователям достаточно выбрать нужное приложение на веб-странице и кликнуть на соответствующую иконку. Причем пользователь может находиться при этом как в локальной сети, так и в сети Интернет.
  • Упрощение администрирования. Нет необходимости какой-либо настройки приложений на клиентских компьютерах (распространение *.rdp файлов через logon скрипты или roaming profiles пользователей или Group Policy для msi пакетов) и создание единого центра по администрированию программного обеспечения.
  • Снижение нагрузки на сеть при использовании приложений с одного терминального сервера. Несколько приложений, запущенных одновременно пользователем с одного и того же терминального сервера, будут работать внутри одной сессии.
  • Простота интеграции с другими веб-решениями. Страничка TS Web Access может быть легко интегрирована в другой web-сайт или Microsoft® Windows® SharePoint® Services сайт.
  • Автоматическое обновление списка опубликованных программ на TS Web Access сайте из списка RemoteApp™ программ на каждом терминальном сервере



Для определения TS Web Access сервера необходимо учесть следующие факторы:

- Операционная система Windows Server 2008

- Microsoft Internet Information Services (IIS) 7.0

- Клиенты rdp должны поддерживать версию протокола RDP 6.1. Клиенты RDP 6.1 включены в поставку следующих операционных системах:

  • Windows Server 2008
  • Windows Vista® Service Pack 1
  • Windows XP with Service Pack 3 (SP3) включая Beta версии



Настройка TS Web Access Сервера для предоставления доступа пользователям из Интернет.
Для предоставления доступа к TS Web Access серверу пользователям из Интернет необходимо использовать так же TS Gateway сервер. Рекомендуется TS Web Access сервер и TS Gateway сервер размещать в периметре сети и за firewall`ом терминальный сервер с RemoteAPP программами. При этом, на firewall`e необходимо разрешить Windows Management Instrumentation (WMI) трафик между TS Web Access сервером и терминальным сервером.

Создание web-сайта доступа к удалённым рабочим столам или приложениям осуществляется путём добавления роли TS Web Access на терминальный сервер.

Для добавления роли необходимо открыть консоль Server Manager и выбрать в меню Roles пункт Terminal Services. Затем выбрать пункт Add Role Services для запуска мастера. На шаге Select Role Services необходимо выбрать пункт TS Web Access . Если в системе не будет необходимых компонентов, мастер добавления роли сервера предложит установить зависимости. Для этого необходимо нажать на Add Required Role Services и затем нажать Next три раза и потом Install.

После завершения работы мастера нажмите Close.

Для проверки установки наберите в Internet Explorer следующий url: http://127.0.0.1/ts. Для доступа на эту страницу необходимо ввести регистрационные данные. Введите имя пользователя Administrator и пароль P@ssw0rd. Вы попадёте на страницу TS Web Access.

Для добавления ярлыков удалённых программ на этот сайт откройте консоль TS RemoteApp Manager, вызовите контекстное меню на необходимом приложении и выберите пункт Show in TS Web Access.

Для обеспечения возможности удалённых пользователей подключаться к рабочему столу компьютера необходимо добавить на сайт ярлык клиента rdp. Для этого в поле Overview консоли TS RemoteApp Manager найдите строку A remote desktop connection for this server is not visible in TS Web Access и нажмите Change .

После этого обновите страницу TS Web Access. Добавленные ярлыки приложений и клиента rdp станут доступными для использования. Проверьте работу этих приложений.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_WebAccess.html

[править] Обеспечение безопасного доступа к удалённым приложениям и рабочим столам с помощью сервера терминального шлюза.

Сервер шлюза TS — это тип шлюза, который позволяет полномочным пользователям подключаться к удаленным компьютерам в корпоративной сети. Такие пользователи могут устанавливать подключение с любого компьютера через Интернет. Шлюз TS использует протокол удаленного рабочего стола (RDP) с протоколом HTTPS, что позволяет создать более безопасное шифрованное подключение.

Однако более ранние версии клиента подключения к удаленному рабочему столу не позволяют устанавливать подключение к удаленным компьютерам в обход брандмауэров и преобразователей сетевых адресов. Это происходит потому, что обычно порт 3389 заблокирован для повышения уровня безопасности сети. Этот порт используется для подключений к удаленному рабочему столу. Шлюз TS использует порт 443, который служит для передачи данных по туннелю SSL.
Сервер шлюза TS обеспечивает следующие преимущества:

  • Подключение к корпоративной сети через Интернет с помощью клиента подключения к удаленному рабочему столу без настройки подключения VPN;
  • Подключения к удаленным компьютерам в обход брандмауэров;
  • Общий доступ к сетевому подключению при работе других программ, запущенных на компьютере. Это позволяет использовать подключение через поставщика услуг Интернета вместо передачи данных посредством удаленного подключения к корпоративной сети.
  • Защищенность канала связи SSL-туннелем.
  • Для повышения уровня безопасности существует возможность интергации с Network Access Protection. NAP - это технология, с помощью которой администратор может проверять наличие определенного программного обеспечения или обновлений на клиенте прежде чем предоставлять досуп к ресурсам. Она включена в следующие операционные системы: Windows Vista® RTM, Windows Server 2008, Windows Vista Service Pack 1 (SP1) и Windows XP Service Pack 3 (SP3).
  • При использовании совместно Microsoft ISA server или другим firewall`ом может быть вынесен из периметра сети в корпоративную.
  • С помошью TS Gateway Manager консоли можно настроить разлчные виды аудита и мониторинга событий на терминальном сервере.



Существует несколько способов внедрения TS Gateway сервера:

  • TS Gateway Core
  • TS Gateway NAP
  • TS Gateway ISA Server


  • Настройка клиента на использование TS Gateway сервера.

Чтобы выбрать сервер шлюза TS, выполните следующие действия:

1.Нажмите кнопку Пуск, Все программы, Стандартные, Связь, а затем – Подключение к удаленному рабочему столу.

2.Нажмите кнопку Параметры, откройте вкладку Дополнительно и нажмите кнопку Настройки.

3.Выберите Use these TS Gateway server settings (Использовать следующие параметры сервера шлюза TS), введите имя сервера в поле Имя сервера и выберите один из следующих способов входа в систему из списка Logon methods (Способы входа в систему).
3.1 Разрешить отложить этот выбор - этот вариант позволяет выбрать способ входа в систему при установке подключения.
3.2 Запрашивать пароль - при выборе этого варианта во время установки подключения выводится запрос на ввод пароля.
3.3 Смарт-карта -при выборе этого варианта во время установки подключения выводится запрос на вставку смарт-карты.

4.Установите или снимите флажок Bypass TS Gateway server for local addresses (Обходить сервер шлюза TS для локальных адресов). Если флажок установлен, маршрутизация входящего и исходящего трафика локальных сетевых адресов выполняется в обход сервера шлюза TS. Это позволяет повысить скорость подключения.

Icon-caution.gif

Настройка клиента может быть также выполнена при помощи Групповых Политик.
Настройки выполняются либо в Local Group Policy на клиенте, либо в политиках домена при помощи Group Policy Management. Настройки выполнятся по пути User Configuration->Administrative Templates->Windows Components->Terminal Services->TS Gateway.
Если политики применены, то в настройках клиента rdp можно указывать Automatically detect TS Gateway settings.

  • Настройка роли TS Gateway на терминальном сервере.

Для настройки роли TS Gateway откройте консоль Server Manager и в поле Roles Summary нажмите на Add Roles.

В результате запустится мастер Add Roles Wizard. На шаге Before You Begin ознакомьтесь с дополнительной информацией и нажмите Next.

Затем, на шаге Select Server Role, выберете Terminal Services и нажмите Next. Далее необходимо будет выбрать Role Services - выберете TS Gateway и нажмите Next.

Если в операционной системе не проинсталлированы зависимости, то мастер предложит их выбрать. Выберете настройки инсталляции зависимостей по-умолчанию путём нажатия на Add Required Role Services и затем нажмите на Next.

На шаге Choose a Server Authentication Certificate for SSL Encryption выберете Create a self-signed certificate for SSL Encryption и нажмите Next.

Затем необходимо будет настроить политики авторизации - выберете Now на шаге Create Authorization Policies for TS Gateway и нажмите на Next.

Следующим этапом настройки терминального сервера будет выбор пользователей, имеющих право подключаться к серверу. Выберете, если не выбрана, группу Administrators и нажмите Next.

Затем необходимо будет создать Connection Authorization Policy for Terminal Gateway. На этом этапе убедитесь что существует имя этой политики, выберете метод Windows authentication - Password и нажмите на Next.

Далее необходимо будет создать и настроить Resource Authorization Policy. Выберете Allow users to connect to any computer on the network и ,по необходимости, измените имя политики. Затем нажмите на Next пять раз, принимая значения по-умолчанию во время настройки зависимостей. Нажмите Install для начала установки ролей. После завершения инсатлляции нажмите на Close и перезагрузите виртуальную машину.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_Gateway.html

  • Экспорт сертификата терминального шлюза

Для установки соединения через терминальный шлюз терминальному клиенту необходимо аутентифицироваться на нем. Для этого необходимо скопировать файл сертификата терминального шлюза на компьютер клиента. Для получения файла сертификата необходимо выполнить следующие действия.

Откройте консоль управления терминальным шлюзом TS Gateway Manager при помощи команды tsmanager.msc, вызовете контекстное меню на управляемом сервере и выберете в нем Properties.

В открывшемся окне перейдите на вкладку SSL Certificate и нажмите на Browse Certificates. Выберете необходимый сертификат и просмотрите его при помощи кнопки View Certificate. Перейдите на вкладку Details и нажмите на Copy to File....

При помощи мастера Certificate Export Wizard сохраните, используя параметры мастера по умолчанию, файл сертификата на файловую систему.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_Gateway_import_cert.html

  • Импорт сертификата терминального шлюза на терминальном клиенте.

Для импорта сертификата используйте контекстное меню на файле сертификата - выберете Install Certificate. Используя мастер импорта сертификата проинсталлируйте сертификат в автоматически определённое мастером место.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_Gateway_export_cert.html

  • Настройка клиента rdp на терминальном клиенте и тестирование соединения.

Для подключения к удалённому серверу через терминальный шлюз необходимо настроить rdp клиент. Откройте его, перейдите на вкладку Advanced и нажмите на Settings в поле Connect from anywhere.

В открывшемся окне настроек терминального шлюза выберете Use these TS Gateway server settings, в поле Server Name укажите имя терминального сервера192.168.7.254, снимите галочку Bypass TS Gateway server for local addresses и в поле Logon method выберете Ask for password (NTLM).

Затем перейдите на вкладку General и в поле Computer введите ip-адрес необходимого терминального сервера. Затем нажмите на Connect.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_Gateway_testing.html

[править] Новые возможности протокола Microsoft RDP6.0 и RDP6.1:

[править] Проверка новых графических возможностей терминального клиента Microsoft: 32-битной глубины цвета, сглаживания шрифтов, стилей оформления окон Microsoft Windows Vista, поддержка нескольких мониторов и высоких разрешений экрана.

  • Поддержка 32-битной глубины цвета.

Для обеспечения этой возможности необходимо настроить как клиент rdp так и терминальный сервер.

    • Настройка клиента rdp:

Откройте клиент подключения к удалённому рабочему столу. Нажмите на Options и перейдите на вкладку Display. В поле Colors выберите Higest Quality (32 bit).

    • Настройка терминального сервера:

Откройте Terminal Services Configuration в папке Terminal Services инструментов администрирования Administrative Tolls.

Затем вызовете контекстное меню на имени соединения RDP-Tcp и выберите Properties. В открывшемся окне свойств соединения перейдите на вкладку Client Settings и выберите в поле Limit Maximum Color Depth значение 32 bits per pixel. Нажмите Ok для сохранения изменений и закрытия окна свойств соединения.

  • Поддержка сглаживания шрифтов.
    • Настройка терминального сервера:

Для включения поддержки сглаживания шрифтов на сервере необходимо открыть консоль Personalization панели управления, в которой выбрать пункт Window Color and Appearance.

В открывшемся окне Appearence Settings нажмите на Effects и выберите пункт Clear Type в пункте Use the following method to smooth edges of screen fonts. Затем нажмите OK два раза.

    • Настройка клиента rdp:

Откройте rdp-клиент, нажмите на Options, перейдите на вкладку Experience и выберите пункт Font smoothing.

Следует отметить, что использование сглаживания шрифтов приведёт к увеличению объёма трафика между терминальным клиентом и сервером.

  • Поддержка стилей оформления окон Microsoft Windows Vista.

Клиенты rdp 6.0 и 6.1 воспроизводят удаленный рабочий стол на клиентском десктопе. Существует возможность использования тем Windows Vista для отрисовки удаленного рабочего стола. Для этого необходимо установить Desktop Experience feature на терминальном сервере Windows Server 2008. Установка Desktop Experience feature включает в себя компоненты Windows Media® Player 11, desktop themes и photo management.

Для исталляции Desktop Experience feature необходимо выполнить следующие действия:

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/desktop_exp.html

1. Откройте коносль Server Manager.
2. Выберите пункт Features и нажмите на Add features.
3. На шаге Select Features выберите Desktop Experience и нажмите Next.
4. На шаге Confirm Installation Options нажмите Install.
5. После завершения инсталляции перезагрузите терминальный сервер.

Кроме вышеперечисленных действий необходимо проверить нет ли ограничений на глубину цвета, а также необходимо перевести службу Themes на терминальном сервере в режим Automatic и стартовать её.

Для проверки нет ли ограничений на глубину цвета откройте консоль Terminal Services Configuration в папке Terminal Services инструментов администрирования Administrative Tolls.

Затем вызовете контекстное меню на имени соединения RDP-Tcp и выберите Properties. В открывшемся окне свойств соединения перейдите на вкладку Client Settings и выберите в поле Limit Maximum Color Depth значение 32 bits per pixel.

Нажмите Ok для сохранения изменений и закрытия окна свойств соединения. После этого необходимо завершить текущую терминальную сессию и открыть ее заново.

Теперь проверьте, отрисовываются ли у вас окна стилями Windows Vista

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/testing_aero.html


  • Поддержка нескольких мониторов.

Объединение мониторов позволяет раширить rdp-сессию на несколько мониторов. Но при этом существует ряд ограничений:

1.На всех мониторах должно быть настроено одинаковое разрешение.
2.Мониторы должны быть выровнены по горизонтали.
3.Суммарное разрешение не должно превышать значения 4096 x 2048.

Объединение мониторов при инициировании rdp-сессии может осуществляться либо из настроек в .rdp файле, или опцией командной строки.

    • Параметры .rdp-файла:

Для включения возможности объединения мониторов через .rdp файл необходимо в этом файле указать директиву Span:

Span:i:<value>

где <value> может принимать значения:
 0 - Объединение мониторов выключено.
 1 - Объединение мониторов включено.
    • Для включения возможности объединения мониторов при вызове клиента rdp из командной строки необходимо указывать опцию /span:
mstsc /span
  • Поддержка высоких разрешений экрана.

В предыдущих реализациях RDP протокола максимальное соотношение сторон дисплея было 4:3 (это максимум 1600х1200). Сейчас поддерживается соотношение сторон до 16:10 (до 4096х2048).

Можно устанавливать разрешения экрана в .rdp-файле или в командной строке при подключении.

  • для установки параметров разрешения дисплея в .rdp файле используются следующие директивы:
desktopwidth:i:<value>
desktopheight:i:<value>

где <value> это значение разрешения, например 1680 или 1050.

  • для установки параметров разрешения дисплея из командной строки используются опции /w и /h:
mstsc.exe /w:<width> /h:<height>

[править] Использование технологии single sign-on в терминальном окружении.

Single sign-on - это метод аутентификации, который позволяет пользователям использовать свои доменные учётные записи для регистрации в домене и затем получать доступ к терминальным серверам без необходимости повторной регистрации.

Требования для внедрения технологии single sign-on:

1. Использование возможностей технологии single sign-on для терминальных подключений возможно только между компьютерами с операционными системами Windows Server 2008 или с терминального клиента под управлением Windows Vista на терминальный сервер Windows Server 2008.
2. Пользовательская учётная запись должна иметь достаточно полномочий для регистрации по протоколу rdp.
3. Терминальный сервер и клиент должны быть введены в домен.

Для обеспечения возможности использования технологии single sign-on необходимо настроить как терминальный сервер так и терминальный клиент.

  • Для настройки терминального сервера необходимо выбрать значение SSL(TLS1.0) в поле Security Layer вкладки General свойств соединения RDP-Tcp консоли Terminal Services Configuration, которую можно открыть с помощью команды tsconfig.msc.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Configuring_term_server_single_sign_on.html

  • Для настройки терминального клиента необходимо открыть консоль Local Group Policy Editor при помощи команды gpedit.msc.


Затем перейти к политике Credentials Delegation по пути Computer Configuration, Administrative Templates, System.

Далее необходимо перевести в значение Enable настройку Allow Delegating Default Credentials. Кроме этого в поле Show Contents необходимо добавить терминальные сервера с префиксом TERMSRV/. Например TERMSRV/win2008 или TERMSRV/* - для любых подключений.

Для завершения настройки локальных политик терминального клиента нажмите OK и обновите политики при помощи перезагрузки клиентского компьютера или при помощи команды gpupdate /force.


  • Установка Active Directory.

Установку Active Directory можно выполнить при помощи мастера, запуск которого выполняется командой dcpromo

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Installing_AD_2008.html

Или выполните команду ad в меню Пуск - Выполнить.
ad.cmd - это скрипт, который лежит в папке c:\windows\system32, и состоит из:

@echo ON
net use x: \\192.168.7.254\inst
@echo Now installing Active Directory
@echo OFF
pause
@echo ON
dcpromo.exe /unattend:X:\DCPROMO.txt /SafeModeAdminPassword:P@ssw0rd

Файл DCPROMO.txt :

[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=polygon.tc
ForestLevel=3
DomainNetbiosName=POLYGON
DomainLevel=3
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
RebootOnCompletion=Yes


  • Введение в домен компьютера под управлением Windows Server 2008.

Для введения компьютера в домен откройте System Properties и на вкладке Computer name выберете Change.

В открывшемся окне активируйте поле Domain и введите имя домена polygon.tc. После нажатия на кнопку OK будет предложено ввести имя пользователя, обладающего правом добавления компьтеров в домен, и его пароль. После завершения этой операции необходимо перезагрузить компьютер.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Adding_to_domain_win2008.html

  • Проверка технологии single sign-on.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/TS_SSO_testing.html

  • Тонкий клиент также может быть введен в домен.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/Adding_to_domain_tc.html

Icon-caution.gif

Перед тем как вводить в домен тонкий клиент необходимо отключить блокировку записи на системный диск и перезагрузить тонкий клиент. Иначе после перезагрузки, в результате добавления в домен, тонкий клиент вернется в исходное состояние - участник рабочей группы. После первой регистрации пользователя домене и выполнения необходимых настроек можно обратно включить блокировку записи на системный диск.

[править] Настройка приоритезации потока данных.

Настройка приоритезации виртуального канала предоставляет возможность определить соотношение потока данных.

Установка приоритета данных автоматически управляет трафиком виртуального канала так, что данные экрана, клавиатуры и мышки будут иметь первостепенное значение по отношению к другому виртуальному каналу, например передача файлов или печать документов.

По умолчанию соотношение потоков виртуального канала составляет 70:30. Данные экрана, мышки и клавиатуры составляют 70% полосы пропускания, все остальные данные (буфер обмена, трансфер файлов, задания печати - 30).

Настройка приоритезации осуществляется с помощью значений ключей реестра на терминальном сервере. Изменения выполняются в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD при помощи следующих ключей:

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth

Если эти ключи отсутствуют, то их необходимо создать. Для создания ключей необходимо правым кликом на TermDD вызвать контекстное меню, в котором выбрать New ключ DWORD (32-bit).

Для отключения приоритезации потока данных необходимо создать DWORD ключ FlowControlDisable со значением 1. В этом случае все запросы будут отрабатываться по принципу first-in-first-out. Значение по молчанию этого ключа - 0.


Для настройки значения приоритета данных на отрисовку дисплея и клавиатуры с мышью необходимо использовать ключ FlowControlDisplayBandwidth. По умолчанию значение этого ключа 70, максимальное значение- 255.

Для настройки значения приоритета на другие виртуальные каналы используйте ключ FlowControlChannelBandwidth. По умолчанию значение этого ключа 30, максимальное значение - 255.

Значение приоритета определяется соотношением ключей FlowControlDisplayBandwidth и FlowControlChannelBandwidth. Например, если значение ключа FlowControlDisplayBandwidth будет 150, а FlowControlChannelBandwidth - 50, то данные дисплея будут занимать 75% всей полосы пропускания.


Следует отметить, что после изменений значений ключей необходимо перезагрузить терминальный клиент.

[править] Перенаправление устройств Plug and Play.

В реализации протокола rdp 6 версии повилась возможность переадресовывать Windows Portable Devices на терминальный сервер поверх MTP (Media Transfer Protocol) и PTP (Picture Transfer Protocol) протокола. Это могут быть совместимые с этими протоколами медиа устройства и цифровые камеры. Для перенаправления таких устройств необходимо настроить как терминальный клиент, так и терминальный сервер. При этом существует ряд ограничений:

1. Не поддерживается перенаправление устройств при каскадном подключении.

2. Перенаправлени доступно только при подключении с компьютера под управлением операционной системой Winndows Vista или Windows Server 2008 на сервера под управлением Windows Vista или Windows Server 2008.

  • Настройка терминального клиента для перенаправления совместимых с протоколами MTP и PTP выполняется на вкладке Local Resources.


Перейдите на эту вкладку и нажмите More. Если устройство подключено к терминальному клиенту, то для перенапревления на терминальный сервер его необходимо выбрать в пункте Supported Plug and Play devices.

Если необходимое устройство в данный момент не подключено, то для его перенаправления в открытую терминальную сессию необходимо в пункте Supported Plug and Play devices отметить Devices that I plug in later.

  • Перенаправление MTP и PTP совместимых устройств может блокироваться терминальным сервером. Для снятия блокировки откройте Terminal Services Configuration в папке Terminal Services инструментов администрирования Administrative Tolls.


Затем вызовете контекстное меню на имени соединения RDP-Tcp и выберите Properties. В открывшемся окне свойств соединения перейдите на вкладку Client Settings и в поле Redirection проверьте, не включена ли блокировка Supported Plug and Play devices.

Нажмите Ok для сохранения изменений и закрытия окна свойств соединения.

Flash icon.jpg

Флэш-ролик
http://nt.ua/swf/redirecting_nikonD40x.html

[править] Microsoft Point of Service для перенаправления .NET устройств.

В Windows Server 2008 существует возможность перенаправления устройств, которые используют Microsoft Point of Service (POS) for .NET 1.11. Такое перенаправление доступно только при использовании х86 архитектуры Windows Server 2008.

Библиотека POS for .NET предоставляет .NET-приложениям удобный и стандартизованный интерфейс для связи с торговым оборудованием. В новой версии библиотеки расширена поддержка стандартов UnifiedPOS (Unified Point Of Service – Унифицированная торговая точка). Получить Microsoft® Point of Service для .NET версии 1.11 можно по ссылке http://go.microsoft.com/fwlink/?linkid=66169.

  • Настройка терминального сервера:

1.Установите Microsoft POS для .NET 1.11 .
2.Установите конфигурационные XML-файлы или компоненты .NET для .NET устройства, которые должны поставляться производителем вместе с оборудованием или могут быть написаны с использованием Microsoft POS for .NET 1.11 Software Development Kit.
3.Перезапустите службу UserMode Port Redirector.

  • Настройка терминального клиента:

Для настройки переадресации .NET устройств использовать вкладку Local Resources клиент rdp нельзя. Однако такое перенаправление может быть включено с помощью опции redirectposdevices в .rdp-файле, который будет использоваться для подключения к серверу. Формат записи этой опции следующий:

redirectposdevices:i:<value>

где: <value> может быть равно 1 для включения перенаправления и 0 - для отключения.

Контролировать возможность переадресации устройств можно на терминальном сервере в консоли Terminal Services Configuration с помощью пункта Supported Plug and Play Devices или при помощи групповых политик.

[править] Материалы по тонким клиентам и системам удалённого доступа на Xgu.ru

Полигоны: