Установка и настройка служб терминалов windows server 2003
Настройка сервера терминалов в Windows 2003
Сегодня наиболее популярной является модель «один компьютер – одно приложение», когда на каждом компьютере, на котором работает пользователь, устанавливаются все необходимые для работы приложения. Такая схема не очень удобна, так как каждая установка часто требует отдельной лицензии. Кроме того, необходимо следить за обновлением приложений на всех компьютерах, защищать их от вирусов. Не стоит забывать и про финансовый момент: обычные клиентские компьютеры, в отличие от терминальных, должны обладать достаточной мощностью для «автономной» работы. А если еще сотрудники не имеют постоянного места? Использование терминальных систем упростит решение этих проблем.
Сервер терминалов Windows 2003
В те далекие времена, когда компьютеры были большими, терминальным доступом удивить кого-либо было трудно. Затем пришел век персоналок, и некоторое время уделом терминалов считались исключительно Unix-системы. С ростом сетей и увеличением мощности компьютеров о терминалах вспомнили снова. С одной стороны, появилась потребность в объединении ресурсов, с другой - в компаниях накопилось большое количество компьютеров старого парка, которые выбросить жалко, а использовать проблематично. Почему бы не использовать их в качестве терминала? Ведь ему не нужно обрабатывать информацию, он просто выводит результат на экран, а для этого особых мощностей не требуется.
Первой реализацией операционной системы от Microsoft, поддерживающей работу с терминалами, был патч к NT 4.0 Terminal Server Edition, а в 2000 Server нужный компонент уже включался в состав системы. В Windows 2003 Server поддержка терминального подключения получила дальнейшее развитие, став более удобной и понятной в администрировании. Этот вариант мы и будем рассматривать. Здесь реализовано два режима работы:
1. Дистанционное управление рабочим столом (Remote Desktop for Administration) – этот режим предназначен для удаленного управления сервером администраторами; в Windows 2000 этот режим назывался Terminal Services in Remote Administration mode, что часто сбивало с толку новичков.
2. Сервер терминалов (Terminal Server mode) – предназначен для подключения удаленных пользователей.
В первом режиме возможны только два одновременных RDP-подключения, а также удаленное подключение к консольному сеансу сервера (этого не хватало в Win2K). Этот режим не требует дополнительного лицензирования. Активировать его очень просто. Выбираем «Панель управления –> Система», переходим во вкладку «Удаленное использование» и устанавливаем флажок «Включить удаленный доступ к рабочему столу». По умолчанию доступ разрешен только локальным администраторам. Для того чтобы добавить других пользователей, нажимаем кнопку «Выбрать удаленных пользователей» и указываем нужные. После первого использования кнопка пропадает, в дальнейшем изменить состав пользователей можно через вкладку «Администрирование –> Управление компьютером», добавив их в группу «Пользователи удаленного рабочего стола». Также следует помнить, что включение Remote Desktop не активирует систему совместимости приложений, поэтому некоторые приложения могут работать некорректно.
В режиме сервера терминалов количество подключений не ограничено, но этот режим требует дополнительного лицензирования. Для управления клиентскими лицензиями используется специальная служба Terminal Server Licensing, которая может управлять выдачей маркеров для нескольких серверов терминалов. При отсутствии в сети установленного и активированного в службе Microsoft Clearinghouse сервера TSL, клиентам будут выдаваться только временные маркеры, действительные в течение 120 дней (90 в Win2K). Этот период называется льготным периодом, он начинается с момент первого подключения клиента к серверу терминалов. Льготный период предназначен не для раздачи временного доступа клиентам, а для того чтобы администратору было достаточно времени на развертывание сервера лицензий. В соответствии с лицензионным соглашением доступ к серверу терминалов без лицензий не предусмотрен.
Итак, устанавливаем сервер.
Установка сервера терминалов
При установке ОС большая часть сервисов не устанавливается, это делается по многим причинам, главная из которых - безопасность. В дальнейшем администратор сам должен определить роль, которую будет выполнять сервер. Учитывая возможность большой нагрузки, сервер терминалов следует разворачивать на отдельном компьютере. Установить TS можно двумя способами. Первый - отметить флажок «Сервер терминалов» во вкладке «Установка компонентов Windows», которая находится в «Установке и удалении программ». Второй вариант - использовать окно «Управление данным сервером» (Managing your computer). Выбираем «Добавить или удалить роль». В появившемся списке совместимых ролей указываем «Сервер терминалов» и идем дальше, подтверждая необходимость перегрузки компьютера. Перезагрузка будет выполнена автоматически, поэтому все приложения следует закрыть заранее.
Теперь необходимо установить сервер лицензий. Заходим в «Установку компонентов Windows» и отмечаем флажком пункт «Лицензирование сервера терминалов». В процессе установки следует определиться с доступностью сервера. Возможен выбор одного из двух вариантов: «Для всего предприятия» или «Для вашего домена или рабочей группы». По умолчанию устанавливается сервер лицензий предприятия, который подходит для всех случаев, хотя в первую очередь предназначен для использования в сетях с несколькими доменами. Для отдельного домена или рабочей группы можно выбрать и второй вариант.
После установки сервер терминальных лицензий необходимо активировать. Заходим в «Панель Управления –> Администрирование», выбираем «Лицензирование сервера терминалов». Как видим, сервер находится в состоянии «Не активирован» (во вкладке он появляется не сразу, а через некоторое время), щелкаем правой кнопкой мышки и говорим «Активировать сервер». Появляется мастер активации сервера лицензий, с которым предстоит пройти несколько шагов. Сначала выбираем метод активации. Если есть прямой выход в интернет, лучше оставить то, что есть, то есть «Автоподключение», в этом случае будет произведен поиск сервера активации Microsoft. Хотя возможны варианты заполнения веб-страницы и активации по телефону. Далее необходимо указать некоторую персональную информацию (имя, фамилия, организация и страна) и на следующем шаге - сведения об организации (почтовый и электронный адрес, город, область).
При активации сервера лицензий серверу выдается цифровой сертификат стандарта X.509 с ограниченным сроком использования, подтверждающий его принадлежность и подлинность. Этот сертификат затем используется для получения и выдачи лицензий клиентам. Установив флажок в последнем окне, можно активировать мастер клиентских лицензий, с помощью которого клиентам добавляются лицензии. Для его работы также понадобится подключение к серверу Microsoft. Сначала надо выбрать программу лицензирования, ввести номер лицензии и указать продукт и тип лицензии.
В операционной системе Windows Server 2003 доступно два типа клиентских лицензий: «На пользователя» (Per-User) и «На устройство» (Per-Device). В первом случае к терминальному серверу можно подключаться с неограниченного числа устройств, производится лишь проверка учетных данных. Во втором случае маркеры назначаются каждому устройству, с которого производится подключение. Чтобы сервер поддерживал оба варианта, следует выбрать Per-User. На этом установку сервера можно считать законченной, переходим к его настройке.
Настройка сервера терминалов
Для конфигурирования и контроля работы TS можно использовать несколько инструментов: диспетчер службы терминалов, настройку служб терминалов и редактор групповых политик (gpedit.msc). Зададим политики с помощью компонента «Настройка служб терминалов». Выбираем одноименную вкладку в панели «Администрирование» или ссылку в «Управлении данным сервером» (tscc.msc). Сначала перейдем во вкладку «Параметры сервера». Параметры «Использовать временные папки для сеанса», «Удаление временных папок при выходе» лучше оставить включенными. Параметр «Рабочий стол Active Desktop» тоже не трогаем, поскольку иначе будет потребляться большее количество ресурсов на отрисовку активного содержимого. По умолчанию опция «Ограничить пользователя единственным сеансом» включен, что предотвращает установление пользователями нескольких сеансов на одном сервере. Это позволяет экономить ресурсы. Хотя если пользователю нужен доступ к приложениям за пределами рабочего стола, ему может понадобиться несколько сессий. Как вариант - для настройки этого параметра можно воспользоваться редактором групповой политики, в котором нужно выбрать «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов». Здесь следует дважды щелкнуть по параметру «Ограничить пользователей службы терминалов одним удаленным сеансом».
Политика лицензирования сервера выбирается в пункте «Лицензирование». По умолчанию используется вариант «На устройство», если требуется, заходим и указываем нужный вариант в списке «Режим лицензирования». В терминальном сервере WS2K3 имеется возможность выбрать один из двух режимов совместимости: «Полная безопасность» (Full Security) и «Ослабленная безопасность» (Relaxed Security). Режим «Ослабленная безопасность» позволяет выполнять старые приложения, которые не могут нормально работать в условиях более строгих ограничений на файловую систему и реестр, принятых в WS2K3. По умолчанию используется режим «Полная безопасность». В случае необходимости его можно изменить, выбрав пункт «Совместимость разрешений». Но важно помнить, что в этом случае все пользователи будут иметь полный доступ к реестру и файловой системе, поэтому такой режим стоит использовать только в исключительных случаях. Сервер лицензий обнаруживается автоматически, поэтому маркер TS может выдать любой ответивший сервер. Если необходимо ограничить работу терминального сервера конкретным сервером (или серверами) лицензий, на него необходимо указать в пункте «Метод обнаружения сервера лицензий».
Несколько серверов терминалов могут быть логически сгруппированы в кластер, тогда нагрузка будет распределяться с использованием Microsoft Network Load Balancing (NLB). Специальная база данных «Служба папок сеансов» (Terminal Services Session Directory) отслеживает все сеансы на сервере терминалов и предоставляет данные, используемые при подключении пользователя к текущим сеансам. Настройки работы со службой папок сеансов производятся во вкладке «Папка сеанса», по умолчанию такая функциональность отключена.
Теперь переходим во вкладку «Подключения», где настраиваются параметры входа, безопасность, перенаправление ресурсов клиента и прочее. По умолчанию в этой вкладке только одно соединение RDP-Tcp, но если на компьютере установлено несколько интерфейсов, для каждого можно создать соединение с индивидуальными параметрами. Кстати, при установленном Citrix MetaFrame его соединения также будут отражены в этой вкладке. Вызвав контекстное меню, можно отключить, переименовать или удалить соединение, а также просмотреть и изменить его свойства. Так, по умолчанию во время сеанса между клиентом и сервером используется встроенное RDP-шифрование, при этом применяется клиентский ключ максимальной защищенности. Изменить это можно во вкладке «Общие», в раскрывающемся списке «Уровень безопасности -> Уровень шифрования».
Здесь же можно указать сертификат сервера. По умолчанию клиенты регистрируются под своими учетными записями, но если требуется единая учетная запись для входа (например, при обучении), задать ее можно во вкладке «Параметры входа». Однако в этом случае зайти под администратором будет невозможно. Во вкладке «Сеансы» переопределяются параметры тайм-аута для отключенных (окно соединения закрыто, но не нажата кнопка «Отключиться»), бездействующих и активных сеансов или для переподключения, а в «Среде» - начальная программа, выполняемая при входе пользователя (она заменяет оболочку Explorer). По умолчанию все эти значения наследуются из параметров подключающегося к серверу пользователя. При необходимости можно запретить запуск начальной программы, указать на некоторую программу, а также запретить переподключаться с другого компьютера.
Администратор может удаленно подключиться к существующему пользовательскому сеансу, разрешение на это устанавливается в свойствах пользователя («Active Directory – пользователи и компьютеры» или «Локальные пользователи и группы», вкладка «Удаленное управление»). Зайдя в «Удаленное управление», можно глобально переопределить пользовательские настройки. Возможен как полный запрет удаленного управления, так и указание собственных настроек для этого сервера. Так, флажок «Запрашивать подтверждение пользователя» указывает, необходимо ли согласие пользователя на удаленное управление. С помощью переключателя «Уровень управления» выбирается один из двух вариантов: только наблюдение за пользователем или взаимодействие с сеансом. В последнем случае администратор может управлять мышкой и клавиатурой пользователя.
Во вкладке «Параметры клиента» можно переопределить подключение и сопоставление дисков, принтеров и некоторых устройств. Здесь же устанавливается максимальная глубина цвета. По умолчанию все настройки распространяются на все сетевые адаптеры. При необходимости во вкладке «Сетевой адаптер» можно указать конкретный сетевой адаптер, здесь же можно ограничить максимальное количество подключений для выбранного адаптера или всего сервера. И, наконец, последняя вкладка «Разрешения». Здесь указываются группы и пользователи, которые имеют право подключаться к серверу, и соответствующие им разрешения.
Доступ к серверу
В отличие от Win2K, которая автоматически разрешает пользователям доступ после установки терминального сервера, в WS2K3 по умолчанию полный доступ разрешен только администраторам. Все остальные пользователи, чтобы получить доступ к терминальному серверу, должны входить в группу «Пользователи удаленного рабочего стола» (Remote Desktop Users). По умолчанию эта группа пуста, и самым простым способом разрешить доступ к TS является занесение пользователя или компьютера в эту группу. Но здесь не все так просто, как кажется на первый взгляд. Доступ пользователя определяется, исходя из нескольких параметров:
1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».
Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено. При подключении можно задать следующие виды разрешений:
1. «Полный доступ» – все разрешения;
2. «Доступ пользователя» – вход на сервер, запрос информации, переподключение к своему отключенному сеансу;
3. «Доступ гостя» - только вход в систему;
4. «Особые разрешения» – администратор самостоятельно указывает, какие из девяти возможных операций может производить пользователь или группа.
Настройки с помощью групповых политик
Если терминальный сервер работает в среде Active Directory, настройки терминального сервера удобнее производить из редактора групповых политик. Для того чтобы новые терминальные серверы наследовали установленные политики, добавляем группу «Пользователи удаленного рабочего стола» в «Группы с ограниченным доступом», которые настраиваются во вкладке «Параметры безопасности» («Политика безопасности контроллера домена –> Параметры безопасности»). И уже из этой вкладки добавляем участников группы.
Основные настройки производятся с помощью GPO в «Службах терминалов» («Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов»). Все параметры разбиты на несколько категорий: «Лицензирование», «Шифрование и безопасность», «Сеансы» и остальные. Некоторые из них совпадают с имеющимися в «Настройке служб терминалов», что позволяет централизованно управлять настройками TS без необходимости конфигурирования каждого сервера.
Заключение
Вот, собственно, и все настройки терминального сервера. Теперь на клиентском компьютере можно вызывать программу «Подключение к удаленному рабочему столу», которую легко найти в меню «Пуск -> Программы -> Стандартные -> Связь», и подключаться к серверу, используя разрешенные учетные данные.
И еще два совета. Если компьютер используется как сервер терминалов, установку и удаление программ следует производить исключительно через раздел «Панель управления -> Установка и удаление программ». А чтобы правильно завершить работу сервера терминалов, следует использовать команду tsshutdn, с помощью которой можно предупредить пользователей о завершении сеансов, чтобы они успели сохранить работу и отключиться.
Сегодня наиболее популярной является модель «один компьютер – одно приложение», когда на каждом компьютере, на котором работает пользователь, устанавливаются все необходимые для работы приложения. Такая схема не очень удобна, так как каждая установка часто требует отдельной лицензии. Кроме того, необходимо следить за обновлением приложений на всех компьютерах, защищать их от вирусов. Не стоит забывать и про финансовый момент: обычные клиентские компьютеры, в отличие от терминальных, должны обладать достаточной мощностью для «автономной» работы. А если еще сотрудники не имеют постоянного места? Использование терминальных систем упростит решение этих проблем.
Сервер терминалов Windows 2003
В те далекие времена, когда компьютеры были большими, терминальным доступом удивить кого-либо было трудно. Затем пришел век персоналок, и некоторое время уделом терминалов считались исключительно Unix-системы. С ростом сетей и увеличением мощности компьютеров о терминалах вспомнили снова. С одной стороны, появилась потребность в объединении ресурсов, с другой - в компаниях накопилось большое количество компьютеров старого парка, которые выбросить жалко, а использовать проблематично. Почему бы не использовать их в качестве терминала? Ведь ему не нужно обрабатывать информацию, он просто выводит результат на экран, а для этого особых мощностей не требуется.
Первой реализацией операционной системы от Microsoft, поддерживающей работу с терминалами, был патч к NT 4.0 Terminal Server Edition, а в 2000 Server нужный компонент уже включался в состав системы. В Windows 2003 Server поддержка терминального подключения получила дальнейшее развитие, став более удобной и понятной в администрировании. Этот вариант мы и будем рассматривать. Здесь реализовано два режима работы:
1. Дистанционное управление рабочим столом (Remote Desktop for Administration) – этот режим предназначен для удаленного управления сервером администраторами; в Windows 2000 этот режим назывался Terminal Services in Remote Administration mode, что часто сбивало с толку новичков.
2. Сервер терминалов (Terminal Server mode) – предназначен для подключения удаленных пользователей.
В первом режиме возможны только два одновременных RDP-подключения, а также удаленное подключение к консольному сеансу сервера (этого не хватало в Win2K). Этот режим не требует дополнительного лицензирования. Активировать его очень просто. Выбираем «Панель управления –> Система», переходим во вкладку «Удаленное использование» и устанавливаем флажок «Включить удаленный доступ к рабочему столу». По умолчанию доступ разрешен только локальным администраторам. Для того чтобы добавить других пользователей, нажимаем кнопку «Выбрать удаленных пользователей» и указываем нужные. После первого использования кнопка пропадает, в дальнейшем изменить состав пользователей можно через вкладку «Администрирование –> Управление компьютером», добавив их в группу «Пользователи удаленного рабочего стола». Также следует помнить, что включение Remote Desktop не активирует систему совместимости приложений, поэтому некоторые приложения могут работать некорректно.
В режиме сервера терминалов количество подключений не ограничено, но этот режим требует дополнительного лицензирования. Для управления клиентскими лицензиями используется специальная служба Terminal Server Licensing, которая может управлять выдачей маркеров для нескольких серверов терминалов. При отсутствии в сети установленного и активированного в службе Microsoft Clearinghouse сервера TSL, клиентам будут выдаваться только временные маркеры, действительные в течение 120 дней (90 в Win2K). Этот период называется льготным периодом, он начинается с момент первого подключения клиента к серверу терминалов. Льготный период предназначен не для раздачи временного доступа клиентам, а для того чтобы администратору было достаточно времени на развертывание сервера лицензий. В соответствии с лицензионным соглашением доступ к серверу терминалов без лицензий не предусмотрен.
Итак, устанавливаем сервер.
Установка сервера терминалов
При установке ОС большая часть сервисов не устанавливается, это делается по многим причинам, главная из которых - безопасность. В дальнейшем администратор сам должен определить роль, которую будет выполнять сервер. Учитывая возможность большой нагрузки, сервер терминалов следует разворачивать на отдельном компьютере. Установить TS можно двумя способами. Первый - отметить флажок «Сервер терминалов» во вкладке «Установка компонентов Windows», которая находится в «Установке и удалении программ». Второй вариант - использовать окно «Управление данным сервером» (Managing your computer). Выбираем «Добавить или удалить роль». В появившемся списке совместимых ролей указываем «Сервер терминалов» и идем дальше, подтверждая необходимость перегрузки компьютера. Перезагрузка будет выполнена автоматически, поэтому все приложения следует закрыть заранее.
Теперь необходимо установить сервер лицензий. Заходим в «Установку компонентов Windows» и отмечаем флажком пункт «Лицензирование сервера терминалов». В процессе установки следует определиться с доступностью сервера. Возможен выбор одного из двух вариантов: «Для всего предприятия» или «Для вашего домена или рабочей группы». По умолчанию устанавливается сервер лицензий предприятия, который подходит для всех случаев, хотя в первую очередь предназначен для использования в сетях с несколькими доменами. Для отдельного домена или рабочей группы можно выбрать и второй вариант.
После установки сервер терминальных лицензий необходимо активировать. Заходим в «Панель Управления –> Администрирование», выбираем «Лицензирование сервера терминалов». Как видим, сервер находится в состоянии «Не активирован» (во вкладке он появляется не сразу, а через некоторое время), щелкаем правой кнопкой мышки и говорим «Активировать сервер». Появляется мастер активации сервера лицензий, с которым предстоит пройти несколько шагов. Сначала выбираем метод активации. Если есть прямой выход в интернет, лучше оставить то, что есть, то есть «Автоподключение», в этом случае будет произведен поиск сервера активации Microsoft. Хотя возможны варианты заполнения веб-страницы и активации по телефону. Далее необходимо указать некоторую персональную информацию (имя, фамилия, организация и страна) и на следующем шаге - сведения об организации (почтовый и электронный адрес, город, область).
При активации сервера лицензий серверу выдается цифровой сертификат стандарта X.509 с ограниченным сроком использования, подтверждающий его принадлежность и подлинность. Этот сертификат затем используется для получения и выдачи лицензий клиентам. Установив флажок в последнем окне, можно активировать мастер клиентских лицензий, с помощью которого клиентам добавляются лицензии. Для его работы также понадобится подключение к серверу Microsoft. Сначала надо выбрать программу лицензирования, ввести номер лицензии и указать продукт и тип лицензии.
В операционной системе Windows Server 2003 доступно два типа клиентских лицензий: «На пользователя» (Per-User) и «На устройство» (Per-Device). В первом случае к терминальному серверу можно подключаться с неограниченного числа устройств, производится лишь проверка учетных данных. Во втором случае маркеры назначаются каждому устройству, с которого производится подключение. Чтобы сервер поддерживал оба варианта, следует выбрать Per-User. На этом установку сервера можно считать законченной, переходим к его настройке.
Настройка сервера терминалов
Для конфигурирования и контроля работы TS можно использовать несколько инструментов: диспетчер службы терминалов, настройку служб терминалов и редактор групповых политик (gpedit.msc). Зададим политики с помощью компонента «Настройка служб терминалов». Выбираем одноименную вкладку в панели «Администрирование» или ссылку в «Управлении данным сервером» (tscc.msc). Сначала перейдем во вкладку «Параметры сервера». Параметры «Использовать временные папки для сеанса», «Удаление временных папок при выходе» лучше оставить включенными. Параметр «Рабочий стол Active Desktop» тоже не трогаем, поскольку иначе будет потребляться большее количество ресурсов на отрисовку активного содержимого. По умолчанию опция «Ограничить пользователя единственным сеансом» включен, что предотвращает установление пользователями нескольких сеансов на одном сервере. Это позволяет экономить ресурсы. Хотя если пользователю нужен доступ к приложениям за пределами рабочего стола, ему может понадобиться несколько сессий. Как вариант - для настройки этого параметра можно воспользоваться редактором групповой политики, в котором нужно выбрать «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов». Здесь следует дважды щелкнуть по параметру «Ограничить пользователей службы терминалов одним удаленным сеансом».
Политика лицензирования сервера выбирается в пункте «Лицензирование». По умолчанию используется вариант «На устройство», если требуется, заходим и указываем нужный вариант в списке «Режим лицензирования». В терминальном сервере WS2K3 имеется возможность выбрать один из двух режимов совместимости: «Полная безопасность» (Full Security) и «Ослабленная безопасность» (Relaxed Security). Режим «Ослабленная безопасность» позволяет выполнять старые приложения, которые не могут нормально работать в условиях более строгих ограничений на файловую систему и реестр, принятых в WS2K3. По умолчанию используется режим «Полная безопасность». В случае необходимости его можно изменить, выбрав пункт «Совместимость разрешений». Но важно помнить, что в этом случае все пользователи будут иметь полный доступ к реестру и файловой системе, поэтому такой режим стоит использовать только в исключительных случаях. Сервер лицензий обнаруживается автоматически, поэтому маркер TS может выдать любой ответивший сервер. Если необходимо ограничить работу терминального сервера конкретным сервером (или серверами) лицензий, на него необходимо указать в пункте «Метод обнаружения сервера лицензий».
Несколько серверов терминалов могут быть логически сгруппированы в кластер, тогда нагрузка будет распределяться с использованием Microsoft Network Load Balancing (NLB). Специальная база данных «Служба папок сеансов» (Terminal Services Session Directory) отслеживает все сеансы на сервере терминалов и предоставляет данные, используемые при подключении пользователя к текущим сеансам. Настройки работы со службой папок сеансов производятся во вкладке «Папка сеанса», по умолчанию такая функциональность отключена.
Теперь переходим во вкладку «Подключения», где настраиваются параметры входа, безопасность, перенаправление ресурсов клиента и прочее. По умолчанию в этой вкладке только одно соединение RDP-Tcp, но если на компьютере установлено несколько интерфейсов, для каждого можно создать соединение с индивидуальными параметрами. Кстати, при установленном Citrix MetaFrame его соединения также будут отражены в этой вкладке. Вызвав контекстное меню, можно отключить, переименовать или удалить соединение, а также просмотреть и изменить его свойства. Так, по умолчанию во время сеанса между клиентом и сервером используется встроенное RDP-шифрование, при этом применяется клиентский ключ максимальной защищенности. Изменить это можно во вкладке «Общие», в раскрывающемся списке «Уровень безопасности -> Уровень шифрования».
Здесь же можно указать сертификат сервера. По умолчанию клиенты регистрируются под своими учетными записями, но если требуется единая учетная запись для входа (например, при обучении), задать ее можно во вкладке «Параметры входа». Однако в этом случае зайти под администратором будет невозможно. Во вкладке «Сеансы» переопределяются параметры тайм-аута для отключенных (окно соединения закрыто, но не нажата кнопка «Отключиться»), бездействующих и активных сеансов или для переподключения, а в «Среде» - начальная программа, выполняемая при входе пользователя (она заменяет оболочку Explorer). По умолчанию все эти значения наследуются из параметров подключающегося к серверу пользователя. При необходимости можно запретить запуск начальной программы, указать на некоторую программу, а также запретить переподключаться с другого компьютера.
Администратор может удаленно подключиться к существующему пользовательскому сеансу, разрешение на это устанавливается в свойствах пользователя («Active Directory – пользователи и компьютеры» или «Локальные пользователи и группы», вкладка «Удаленное управление»). Зайдя в «Удаленное управление», можно глобально переопределить пользовательские настройки. Возможен как полный запрет удаленного управления, так и указание собственных настроек для этого сервера. Так, флажок «Запрашивать подтверждение пользователя» указывает, необходимо ли согласие пользователя на удаленное управление. С помощью переключателя «Уровень управления» выбирается один из двух вариантов: только наблюдение за пользователем или взаимодействие с сеансом. В последнем случае администратор может управлять мышкой и клавиатурой пользователя.
Во вкладке «Параметры клиента» можно переопределить подключение и сопоставление дисков, принтеров и некоторых устройств. Здесь же устанавливается максимальная глубина цвета. По умолчанию все настройки распространяются на все сетевые адаптеры. При необходимости во вкладке «Сетевой адаптер» можно указать конкретный сетевой адаптер, здесь же можно ограничить максимальное количество подключений для выбранного адаптера или всего сервера. И, наконец, последняя вкладка «Разрешения». Здесь указываются группы и пользователи, которые имеют право подключаться к серверу, и соответствующие им разрешения.
Доступ к серверу
В отличие от Win2K, которая автоматически разрешает пользователям доступ после установки терминального сервера, в WS2K3 по умолчанию полный доступ разрешен только администраторам. Все остальные пользователи, чтобы получить доступ к терминальному серверу, должны входить в группу «Пользователи удаленного рабочего стола» (Remote Desktop Users). По умолчанию эта группа пуста, и самым простым способом разрешить доступ к TS является занесение пользователя или компьютера в эту группу. Но здесь не все так просто, как кажется на первый взгляд. Доступ пользователя определяется, исходя из нескольких параметров:
1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».
Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено. При подключении можно задать следующие виды разрешений:
1. «Полный доступ» – все разрешения;
2. «Доступ пользователя» – вход на сервер, запрос информации, переподключение к своему отключенному сеансу;
3. «Доступ гостя» - только вход в систему;
4. «Особые разрешения» – администратор самостоятельно указывает, какие из девяти возможных операций может производить пользователь или группа.
Настройки с помощью групповых политик
Если терминальный сервер работает в среде Active Directory, настройки терминального сервера удобнее производить из редактора групповых политик. Для того чтобы новые терминальные серверы наследовали установленные политики, добавляем группу «Пользователи удаленного рабочего стола» в «Группы с ограниченным доступом», которые настраиваются во вкладке «Параметры безопасности» («Политика безопасности контроллера домена –> Параметры безопасности»). И уже из этой вкладки добавляем участников группы.
Основные настройки производятся с помощью GPO в «Службах терминалов» («Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов»). Все параметры разбиты на несколько категорий: «Лицензирование», «Шифрование и безопасность», «Сеансы» и остальные. Некоторые из них совпадают с имеющимися в «Настройке служб терминалов», что позволяет централизованно управлять настройками TS без необходимости конфигурирования каждого сервера.
Заключение
Вот, собственно, и все настройки терминального сервера. Теперь на клиентском компьютере можно вызывать программу «Подключение к удаленному рабочему столу», которую легко найти в меню «Пуск -> Программы -> Стандартные -> Связь», и подключаться к серверу, используя разрешенные учетные данные.
И еще два совета. Если компьютер используется как сервер терминалов, установку и удаление программ следует производить исключительно через раздел «Панель управления -> Установка и удаление программ». А чтобы правильно завершить работу сервера терминалов, следует использовать команду tsshutdn, с помощью которой можно предупредить пользователей о завершении сеансов, чтобы они успели сохранить работу и отключиться.
По теме из базы знаний
- Терминал - решаем раз и навсегда проблему с поиском драйверов под принтеры клиентов, да в целом с глюками службы печати в терминале
- Подключение торгового оборудования по rdp.
- Многопоточный МикроСервер для файловой базы управляемого приложения 1c
- Автоматизация службы доставки - Удобное решение: Служба доставки + Фастфуд 3.0 (Поддержка онлайн-касс, 54-ФЗ, ЕГАИС)
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1) berserker_88,
это жутко полезная информация! Еще много полезного в википедии скопируйте плз все сюда не хочется ползать по всяким левым сайтам лучше всю инфу иметь под рукой на инфостарте.
Настройка сервера терминалов в Windows 2003
Сегодня наиболее популярной является модель «один компьютер – одно приложение», когда на каждом компьютере, на котором работает пользователь, устанавливаются все необходимые для работы приложения. Такая схема не очень удобна, так как каждая установка часто требует отдельной лицензии. Кроме того, необходимо следить за обновлением приложений на всех компьютерах, защищать их от вирусов. Не стоит забывать и про финансовый момент: обычные клиентские компьютеры, в отличие от терминальных, должны обладать достаточной мощностью для «автономной» работы. А если еще сотрудники не имеют постоянного места? Использование терминальных систем упростит решение этих проблем.
Сервер терминалов Windows 2003
В те далекие времена, когда компьютеры были большими, терминальным доступом удивить кого-либо было трудно. Затем пришел век персоналок, и некоторое время уделом терминалов считались исключительно Unix-системы. С ростом сетей и увеличением мощности компьютеров о терминалах вспомнили снова. С одной стороны, появилась потребность в объединении ресурсов, с другой - в компаниях накопилось большое количество компьютеров старого парка, которые выбросить жалко, а использовать проблематично. Почему бы не использовать их в качестве терминала? Ведь ему не нужно обрабатывать информацию, он просто выводит результат на экран, а для этого особых мощностей не требуется.
Первой реализацией операционной системы от Microsoft, поддерживающей работу с терминалами, был патч к NT 4.0 Terminal Server Edition, а в 2000 Server нужный компонент уже включался в состав системы. В Windows 2003 Server поддержка терминального подключения получила дальнейшее развитие, став более удобной и понятной в администрировании. Этот вариант мы и будем рассматривать. Здесь реализовано два режима работы:
1. Дистанционное управление рабочим столом (Remote Desktop for Administration) – этот режим предназначен для удаленного управления сервером администраторами; в Windows 2000 этот режим назывался Terminal Services in Remote Administration mode, что часто сбивало с толку новичков.
2. Сервер терминалов (Terminal Server mode) – предназначен для подключения удаленных пользователей.
В первом режиме возможны только два одновременных RDP-подключения, а также удаленное подключение к консольному сеансу сервера (этого не хватало в Win2K). Этот режим не требует дополнительного лицензирования. Активировать его очень просто. Выбираем «Панель управления –> Система», переходим во вкладку «Удаленное использование» и устанавливаем флажок «Включить удаленный доступ к рабочему столу». По умолчанию доступ разрешен только локальным администраторам. Для того чтобы добавить других пользователей, нажимаем кнопку «Выбрать удаленных пользователей» и указываем нужные. После первого использования кнопка пропадает, в дальнейшем изменить состав пользователей можно через вкладку «Администрирование –> Управление компьютером», добавив их в группу «Пользователи удаленного рабочего стола». Также следует помнить, что включение Remote Desktop не активирует систему совместимости приложений, поэтому некоторые приложения могут работать некорректно.
В режиме сервера терминалов количество подключений не ограничено, но этот режим требует дополнительного лицензирования. Для управления клиентскими лицензиями используется специальная служба Terminal Server Licensing, которая может управлять выдачей маркеров для нескольких серверов терминалов. При отсутствии в сети установленного и активированного в службе Microsoft Clearinghouse сервера TSL, клиентам будут выдаваться только временные маркеры, действительные в течение 120 дней (90 в Win2K). Этот период называется льготным периодом, он начинается с момент первого подключения клиента к серверу терминалов. Льготный период предназначен не для раздачи временного доступа клиентам, а для того чтобы администратору было достаточно времени на развертывание сервера лицензий. В соответствии с лицензионным соглашением доступ к серверу терминалов без лицензий не предусмотрен.
Итак, устанавливаем сервер.
Установка сервера терминалов
При установке ОС большая часть сервисов не устанавливается, это делается по многим причинам, главная из которых - безопасность. В дальнейшем администратор сам должен определить роль, которую будет выполнять сервер. Учитывая возможность большой нагрузки, сервер терминалов следует разворачивать на отдельном компьютере. Установить TS можно двумя способами. Первый - отметить флажок «Сервер терминалов» во вкладке «Установка компонентов Windows», которая находится в «Установке и удалении программ». Второй вариант - использовать окно «Управление данным сервером» (Managing your computer). Выбираем «Добавить или удалить роль». В появившемся списке совместимых ролей указываем «Сервер терминалов» и идем дальше, подтверждая необходимость перегрузки компьютера. Перезагрузка будет выполнена автоматически, поэтому все приложения следует закрыть заранее.
Теперь необходимо установить сервер лицензий. Заходим в «Установку компонентов Windows» и отмечаем флажком пункт «Лицензирование сервера терминалов». В процессе установки следует определиться с доступностью сервера. Возможен выбор одного из двух вариантов: «Для всего предприятия» или «Для вашего домена или рабочей группы». По умолчанию устанавливается сервер лицензий предприятия, который подходит для всех случаев, хотя в первую очередь предназначен для использования в сетях с несколькими доменами. Для отдельного домена или рабочей группы можно выбрать и второй вариант.
После установки сервер терминальных лицензий необходимо активировать. Заходим в «Панель Управления –> Администрирование», выбираем «Лицензирование сервера терминалов». Как видим, сервер находится в состоянии «Не активирован» (во вкладке он появляется не сразу, а через некоторое время), щелкаем правой кнопкой мышки и говорим «Активировать сервер». Появляется мастер активации сервера лицензий, с которым предстоит пройти несколько шагов. Сначала выбираем метод активации. Если есть прямой выход в интернет, лучше оставить то, что есть, то есть «Автоподключение», в этом случае будет произведен поиск сервера активации Microsoft. Хотя возможны варианты заполнения веб-страницы и активации по телефону. Далее необходимо указать некоторую персональную информацию (имя, фамилия, организация и страна) и на следующем шаге - сведения об организации (почтовый и электронный адрес, город, область).
При активации сервера лицензий серверу выдается цифровой сертификат стандарта X.509 с ограниченным сроком использования, подтверждающий его принадлежность и подлинность. Этот сертификат затем используется для получения и выдачи лицензий клиентам. Установив флажок в последнем окне, можно активировать мастер клиентских лицензий, с помощью которого клиентам добавляются лицензии. Для его работы также понадобится подключение к серверу Microsoft. Сначала надо выбрать программу лицензирования, ввести номер лицензии и указать продукт и тип лицензии.
В операционной системе Windows Server 2003 доступно два типа клиентских лицензий: «На пользователя» (Per-User) и «На устройство» (Per-Device). В первом случае к терминальному серверу можно подключаться с неограниченного числа устройств, производится лишь проверка учетных данных. Во втором случае маркеры назначаются каждому устройству, с которого производится подключение. Чтобы сервер поддерживал оба варианта, следует выбрать Per-User. На этом установку сервера можно считать законченной, переходим к его настройке.
Настройка сервера терминалов
Для конфигурирования и контроля работы TS можно использовать несколько инструментов: диспетчер службы терминалов, настройку служб терминалов и редактор групповых политик (gpedit.msc). Зададим политики с помощью компонента «Настройка служб терминалов». Выбираем одноименную вкладку в панели «Администрирование» или ссылку в «Управлении данным сервером» (tscc.msc). Сначала перейдем во вкладку «Параметры сервера». Параметры «Использовать временные папки для сеанса», «Удаление временных папок при выходе» лучше оставить включенными. Параметр «Рабочий стол Active Desktop» тоже не трогаем, поскольку иначе будет потребляться большее количество ресурсов на отрисовку активного содержимого. По умолчанию опция «Ограничить пользователя единственным сеансом» включен, что предотвращает установление пользователями нескольких сеансов на одном сервере. Это позволяет экономить ресурсы. Хотя если пользователю нужен доступ к приложениям за пределами рабочего стола, ему может понадобиться несколько сессий. Как вариант - для настройки этого параметра можно воспользоваться редактором групповой политики, в котором нужно выбрать «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов». Здесь следует дважды щелкнуть по параметру «Ограничить пользователей службы терминалов одним удаленным сеансом».
Политика лицензирования сервера выбирается в пункте «Лицензирование». По умолчанию используется вариант «На устройство», если требуется, заходим и указываем нужный вариант в списке «Режим лицензирования». В терминальном сервере WS2K3 имеется возможность выбрать один из двух режимов совместимости: «Полная безопасность» (Full Security) и «Ослабленная безопасность» (Relaxed Security). Режим «Ослабленная безопасность» позволяет выполнять старые приложения, которые не могут нормально работать в условиях более строгих ограничений на файловую систему и реестр, принятых в WS2K3. По умолчанию используется режим «Полная безопасность». В случае необходимости его можно изменить, выбрав пункт «Совместимость разрешений». Но важно помнить, что в этом случае все пользователи будут иметь полный доступ к реестру и файловой системе, поэтому такой режим стоит использовать только в исключительных случаях. Сервер лицензий обнаруживается автоматически, поэтому маркер TS может выдать любой ответивший сервер. Если необходимо ограничить работу терминального сервера конкретным сервером (или серверами) лицензий, на него необходимо указать в пункте «Метод обнаружения сервера лицензий».
Несколько серверов терминалов могут быть логически сгруппированы в кластер, тогда нагрузка будет распределяться с использованием Microsoft Network Load Balancing (NLB). Специальная база данных «Служба папок сеансов» (Terminal Services Session Directory) отслеживает все сеансы на сервере терминалов и предоставляет данные, используемые при подключении пользователя к текущим сеансам. Настройки работы со службой папок сеансов производятся во вкладке «Папка сеанса», по умолчанию такая функциональность отключена.
Теперь переходим во вкладку «Подключения», где настраиваются параметры входа, безопасность, перенаправление ресурсов клиента и прочее. По умолчанию в этой вкладке только одно соединение RDP-Tcp, но если на компьютере установлено несколько интерфейсов, для каждого можно создать соединение с индивидуальными параметрами. Кстати, при установленном Citrix MetaFrame его соединения также будут отражены в этой вкладке. Вызвав контекстное меню, можно отключить, переименовать или удалить соединение, а также просмотреть и изменить его свойства. Так, по умолчанию во время сеанса между клиентом и сервером используется встроенное RDP-шифрование, при этом применяется клиентский ключ максимальной защищенности. Изменить это можно во вкладке «Общие», в раскрывающемся списке «Уровень безопасности -> Уровень шифрования».
Здесь же можно указать сертификат сервера. По умолчанию клиенты регистрируются под своими учетными записями, но если требуется единая учетная запись для входа (например, при обучении), задать ее можно во вкладке «Параметры входа». Однако в этом случае зайти под администратором будет невозможно. Во вкладке «Сеансы» переопределяются параметры тайм-аута для отключенных (окно соединения закрыто, но не нажата кнопка «Отключиться»), бездействующих и активных сеансов или для переподключения, а в «Среде» - начальная программа, выполняемая при входе пользователя (она заменяет оболочку Explorer). По умолчанию все эти значения наследуются из параметров подключающегося к серверу пользователя. При необходимости можно запретить запуск начальной программы, указать на некоторую программу, а также запретить переподключаться с другого компьютера.
Администратор может удаленно подключиться к существующему пользовательскому сеансу, разрешение на это устанавливается в свойствах пользователя («Active Directory – пользователи и компьютеры» или «Локальные пользователи и группы», вкладка «Удаленное управление»). Зайдя в «Удаленное управление», можно глобально переопределить пользовательские настройки. Возможен как полный запрет удаленного управления, так и указание собственных настроек для этого сервера. Так, флажок «Запрашивать подтверждение пользователя» указывает, необходимо ли согласие пользователя на удаленное управление. С помощью переключателя «Уровень управления» выбирается один из двух вариантов: только наблюдение за пользователем или взаимодействие с сеансом. В последнем случае администратор может управлять мышкой и клавиатурой пользователя.
Во вкладке «Параметры клиента» можно переопределить подключение и сопоставление дисков, принтеров и некоторых устройств. Здесь же устанавливается максимальная глубина цвета. По умолчанию все настройки распространяются на все сетевые адаптеры. При необходимости во вкладке «Сетевой адаптер» можно указать конкретный сетевой адаптер, здесь же можно ограничить максимальное количество подключений для выбранного адаптера или всего сервера. И, наконец, последняя вкладка «Разрешения». Здесь указываются группы и пользователи, которые имеют право подключаться к серверу, и соответствующие им разрешения.
Доступ к серверу
В отличие от Win2K, которая автоматически разрешает пользователям доступ после установки терминального сервера, в WS2K3 по умолчанию полный доступ разрешен только администраторам. Все остальные пользователи, чтобы получить доступ к терминальному серверу, должны входить в группу «Пользователи удаленного рабочего стола» (Remote Desktop Users). По умолчанию эта группа пуста, и самым простым способом разрешить доступ к TS является занесение пользователя или компьютера в эту группу. Но здесь не все так просто, как кажется на первый взгляд. Доступ пользователя определяется, исходя из нескольких параметров:
1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».
Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено. При подключении можно задать следующие виды разрешений:
1. «Полный доступ» – все разрешения;
2. «Доступ пользователя» – вход на сервер, запрос информации, переподключение к своему отключенному сеансу;
3. «Доступ гостя» - только вход в систему;
4. «Особые разрешения» – администратор самостоятельно указывает, какие из девяти возможных операций может производить пользователь или группа.
Настройки с помощью групповых политик
Если терминальный сервер работает в среде Active Directory, настройки терминального сервера удобнее производить из редактора групповых политик. Для того чтобы новые терминальные серверы наследовали установленные политики, добавляем группу «Пользователи удаленного рабочего стола» в «Группы с ограниченным доступом», которые настраиваются во вкладке «Параметры безопасности» («Политика безопасности контроллера домена –> Параметры безопасности»). И уже из этой вкладки добавляем участников группы.
Основные настройки производятся с помощью GPO в «Службах терминалов» («Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов»). Все параметры разбиты на несколько категорий: «Лицензирование», «Шифрование и безопасность», «Сеансы» и остальные. Некоторые из них совпадают с имеющимися в «Настройке служб терминалов», что позволяет централизованно управлять настройками TS без необходимости конфигурирования каждого сервера.
Заключение
Вот, собственно, и все настройки терминального сервера. Теперь на клиентском компьютере можно вызывать программу «Подключение к удаленному рабочему столу», которую легко найти в меню «Пуск -> Программы -> Стандартные -> Связь», и подключаться к серверу, используя разрешенные учетные данные.
И еще два совета. Если компьютер используется как сервер терминалов, установку и удаление программ следует производить исключительно через раздел «Панель управления -> Установка и удаление программ». А чтобы правильно завершить работу сервера терминалов, следует использовать команду tsshutdn, с помощью которой можно предупредить пользователей о завершении сеансов, чтобы они успели сохранить работу и отключиться.
ПоказатьСегодня наиболее популярной является модель «один компьютер – одно приложение», когда на каждом компьютере, на котором работает пользователь, устанавливаются все необходимые для работы приложения. Такая схема не очень удобна, так как каждая установка часто требует отдельной лицензии. Кроме того, необходимо следить за обновлением приложений на всех компьютерах, защищать их от вирусов. Не стоит забывать и про финансовый момент: обычные клиентские компьютеры, в отличие от терминальных, должны обладать достаточной мощностью для «автономной» работы. А если еще сотрудники не имеют постоянного места? Использование терминальных систем упростит решение этих проблем.
Сервер терминалов Windows 2003
В те далекие времена, когда компьютеры были большими, терминальным доступом удивить кого-либо было трудно. Затем пришел век персоналок, и некоторое время уделом терминалов считались исключительно Unix-системы. С ростом сетей и увеличением мощности компьютеров о терминалах вспомнили снова. С одной стороны, появилась потребность в объединении ресурсов, с другой - в компаниях накопилось большое количество компьютеров старого парка, которые выбросить жалко, а использовать проблематично. Почему бы не использовать их в качестве терминала? Ведь ему не нужно обрабатывать информацию, он просто выводит результат на экран, а для этого особых мощностей не требуется.
Первой реализацией операционной системы от Microsoft, поддерживающей работу с терминалами, был патч к NT 4.0 Terminal Server Edition, а в 2000 Server нужный компонент уже включался в состав системы. В Windows 2003 Server поддержка терминального подключения получила дальнейшее развитие, став более удобной и понятной в администрировании. Этот вариант мы и будем рассматривать. Здесь реализовано два режима работы:
1. Дистанционное управление рабочим столом (Remote Desktop for Administration) – этот режим предназначен для удаленного управления сервером администраторами; в Windows 2000 этот режим назывался Terminal Services in Remote Administration mode, что часто сбивало с толку новичков.
2. Сервер терминалов (Terminal Server mode) – предназначен для подключения удаленных пользователей.
В первом режиме возможны только два одновременных RDP-подключения, а также удаленное подключение к консольному сеансу сервера (этого не хватало в Win2K). Этот режим не требует дополнительного лицензирования. Активировать его очень просто. Выбираем «Панель управления –> Система», переходим во вкладку «Удаленное использование» и устанавливаем флажок «Включить удаленный доступ к рабочему столу». По умолчанию доступ разрешен только локальным администраторам. Для того чтобы добавить других пользователей, нажимаем кнопку «Выбрать удаленных пользователей» и указываем нужные. После первого использования кнопка пропадает, в дальнейшем изменить состав пользователей можно через вкладку «Администрирование –> Управление компьютером», добавив их в группу «Пользователи удаленного рабочего стола». Также следует помнить, что включение Remote Desktop не активирует систему совместимости приложений, поэтому некоторые приложения могут работать некорректно.
В режиме сервера терминалов количество подключений не ограничено, но этот режим требует дополнительного лицензирования. Для управления клиентскими лицензиями используется специальная служба Terminal Server Licensing, которая может управлять выдачей маркеров для нескольких серверов терминалов. При отсутствии в сети установленного и активированного в службе Microsoft Clearinghouse сервера TSL, клиентам будут выдаваться только временные маркеры, действительные в течение 120 дней (90 в Win2K). Этот период называется льготным периодом, он начинается с момент первого подключения клиента к серверу терминалов. Льготный период предназначен не для раздачи временного доступа клиентам, а для того чтобы администратору было достаточно времени на развертывание сервера лицензий. В соответствии с лицензионным соглашением доступ к серверу терминалов без лицензий не предусмотрен.
Итак, устанавливаем сервер.
Установка сервера терминалов
При установке ОС большая часть сервисов не устанавливается, это делается по многим причинам, главная из которых - безопасность. В дальнейшем администратор сам должен определить роль, которую будет выполнять сервер. Учитывая возможность большой нагрузки, сервер терминалов следует разворачивать на отдельном компьютере. Установить TS можно двумя способами. Первый - отметить флажок «Сервер терминалов» во вкладке «Установка компонентов Windows», которая находится в «Установке и удалении программ». Второй вариант - использовать окно «Управление данным сервером» (Managing your computer). Выбираем «Добавить или удалить роль». В появившемся списке совместимых ролей указываем «Сервер терминалов» и идем дальше, подтверждая необходимость перегрузки компьютера. Перезагрузка будет выполнена автоматически, поэтому все приложения следует закрыть заранее.
Теперь необходимо установить сервер лицензий. Заходим в «Установку компонентов Windows» и отмечаем флажком пункт «Лицензирование сервера терминалов». В процессе установки следует определиться с доступностью сервера. Возможен выбор одного из двух вариантов: «Для всего предприятия» или «Для вашего домена или рабочей группы». По умолчанию устанавливается сервер лицензий предприятия, который подходит для всех случаев, хотя в первую очередь предназначен для использования в сетях с несколькими доменами. Для отдельного домена или рабочей группы можно выбрать и второй вариант.
После установки сервер терминальных лицензий необходимо активировать. Заходим в «Панель Управления –> Администрирование», выбираем «Лицензирование сервера терминалов». Как видим, сервер находится в состоянии «Не активирован» (во вкладке он появляется не сразу, а через некоторое время), щелкаем правой кнопкой мышки и говорим «Активировать сервер». Появляется мастер активации сервера лицензий, с которым предстоит пройти несколько шагов. Сначала выбираем метод активации. Если есть прямой выход в интернет, лучше оставить то, что есть, то есть «Автоподключение», в этом случае будет произведен поиск сервера активации Microsoft. Хотя возможны варианты заполнения веб-страницы и активации по телефону. Далее необходимо указать некоторую персональную информацию (имя, фамилия, организация и страна) и на следующем шаге - сведения об организации (почтовый и электронный адрес, город, область).
При активации сервера лицензий серверу выдается цифровой сертификат стандарта X.509 с ограниченным сроком использования, подтверждающий его принадлежность и подлинность. Этот сертификат затем используется для получения и выдачи лицензий клиентам. Установив флажок в последнем окне, можно активировать мастер клиентских лицензий, с помощью которого клиентам добавляются лицензии. Для его работы также понадобится подключение к серверу Microsoft. Сначала надо выбрать программу лицензирования, ввести номер лицензии и указать продукт и тип лицензии.
В операционной системе Windows Server 2003 доступно два типа клиентских лицензий: «На пользователя» (Per-User) и «На устройство» (Per-Device). В первом случае к терминальному серверу можно подключаться с неограниченного числа устройств, производится лишь проверка учетных данных. Во втором случае маркеры назначаются каждому устройству, с которого производится подключение. Чтобы сервер поддерживал оба варианта, следует выбрать Per-User. На этом установку сервера можно считать законченной, переходим к его настройке.
Настройка сервера терминалов
Для конфигурирования и контроля работы TS можно использовать несколько инструментов: диспетчер службы терминалов, настройку служб терминалов и редактор групповых политик (gpedit.msc). Зададим политики с помощью компонента «Настройка служб терминалов». Выбираем одноименную вкладку в панели «Администрирование» или ссылку в «Управлении данным сервером» (tscc.msc). Сначала перейдем во вкладку «Параметры сервера». Параметры «Использовать временные папки для сеанса», «Удаление временных папок при выходе» лучше оставить включенными. Параметр «Рабочий стол Active Desktop» тоже не трогаем, поскольку иначе будет потребляться большее количество ресурсов на отрисовку активного содержимого. По умолчанию опция «Ограничить пользователя единственным сеансом» включен, что предотвращает установление пользователями нескольких сеансов на одном сервере. Это позволяет экономить ресурсы. Хотя если пользователю нужен доступ к приложениям за пределами рабочего стола, ему может понадобиться несколько сессий. Как вариант - для настройки этого параметра можно воспользоваться редактором групповой политики, в котором нужно выбрать «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов». Здесь следует дважды щелкнуть по параметру «Ограничить пользователей службы терминалов одним удаленным сеансом».
Политика лицензирования сервера выбирается в пункте «Лицензирование». По умолчанию используется вариант «На устройство», если требуется, заходим и указываем нужный вариант в списке «Режим лицензирования». В терминальном сервере WS2K3 имеется возможность выбрать один из двух режимов совместимости: «Полная безопасность» (Full Security) и «Ослабленная безопасность» (Relaxed Security). Режим «Ослабленная безопасность» позволяет выполнять старые приложения, которые не могут нормально работать в условиях более строгих ограничений на файловую систему и реестр, принятых в WS2K3. По умолчанию используется режим «Полная безопасность». В случае необходимости его можно изменить, выбрав пункт «Совместимость разрешений». Но важно помнить, что в этом случае все пользователи будут иметь полный доступ к реестру и файловой системе, поэтому такой режим стоит использовать только в исключительных случаях. Сервер лицензий обнаруживается автоматически, поэтому маркер TS может выдать любой ответивший сервер. Если необходимо ограничить работу терминального сервера конкретным сервером (или серверами) лицензий, на него необходимо указать в пункте «Метод обнаружения сервера лицензий».
Несколько серверов терминалов могут быть логически сгруппированы в кластер, тогда нагрузка будет распределяться с использованием Microsoft Network Load Balancing (NLB). Специальная база данных «Служба папок сеансов» (Terminal Services Session Directory) отслеживает все сеансы на сервере терминалов и предоставляет данные, используемые при подключении пользователя к текущим сеансам. Настройки работы со службой папок сеансов производятся во вкладке «Папка сеанса», по умолчанию такая функциональность отключена.
Теперь переходим во вкладку «Подключения», где настраиваются параметры входа, безопасность, перенаправление ресурсов клиента и прочее. По умолчанию в этой вкладке только одно соединение RDP-Tcp, но если на компьютере установлено несколько интерфейсов, для каждого можно создать соединение с индивидуальными параметрами. Кстати, при установленном Citrix MetaFrame его соединения также будут отражены в этой вкладке. Вызвав контекстное меню, можно отключить, переименовать или удалить соединение, а также просмотреть и изменить его свойства. Так, по умолчанию во время сеанса между клиентом и сервером используется встроенное RDP-шифрование, при этом применяется клиентский ключ максимальной защищенности. Изменить это можно во вкладке «Общие», в раскрывающемся списке «Уровень безопасности -> Уровень шифрования».
Здесь же можно указать сертификат сервера. По умолчанию клиенты регистрируются под своими учетными записями, но если требуется единая учетная запись для входа (например, при обучении), задать ее можно во вкладке «Параметры входа». Однако в этом случае зайти под администратором будет невозможно. Во вкладке «Сеансы» переопределяются параметры тайм-аута для отключенных (окно соединения закрыто, но не нажата кнопка «Отключиться»), бездействующих и активных сеансов или для переподключения, а в «Среде» - начальная программа, выполняемая при входе пользователя (она заменяет оболочку Explorer). По умолчанию все эти значения наследуются из параметров подключающегося к серверу пользователя. При необходимости можно запретить запуск начальной программы, указать на некоторую программу, а также запретить переподключаться с другого компьютера.
Администратор может удаленно подключиться к существующему пользовательскому сеансу, разрешение на это устанавливается в свойствах пользователя («Active Directory – пользователи и компьютеры» или «Локальные пользователи и группы», вкладка «Удаленное управление»). Зайдя в «Удаленное управление», можно глобально переопределить пользовательские настройки. Возможен как полный запрет удаленного управления, так и указание собственных настроек для этого сервера. Так, флажок «Запрашивать подтверждение пользователя» указывает, необходимо ли согласие пользователя на удаленное управление. С помощью переключателя «Уровень управления» выбирается один из двух вариантов: только наблюдение за пользователем или взаимодействие с сеансом. В последнем случае администратор может управлять мышкой и клавиатурой пользователя.
Во вкладке «Параметры клиента» можно переопределить подключение и сопоставление дисков, принтеров и некоторых устройств. Здесь же устанавливается максимальная глубина цвета. По умолчанию все настройки распространяются на все сетевые адаптеры. При необходимости во вкладке «Сетевой адаптер» можно указать конкретный сетевой адаптер, здесь же можно ограничить максимальное количество подключений для выбранного адаптера или всего сервера. И, наконец, последняя вкладка «Разрешения». Здесь указываются группы и пользователи, которые имеют право подключаться к серверу, и соответствующие им разрешения.
Доступ к серверу
В отличие от Win2K, которая автоматически разрешает пользователям доступ после установки терминального сервера, в WS2K3 по умолчанию полный доступ разрешен только администраторам. Все остальные пользователи, чтобы получить доступ к терминальному серверу, должны входить в группу «Пользователи удаленного рабочего стола» (Remote Desktop Users). По умолчанию эта группа пуста, и самым простым способом разрешить доступ к TS является занесение пользователя или компьютера в эту группу. Но здесь не все так просто, как кажется на первый взгляд. Доступ пользователя определяется, исходя из нескольких параметров:
1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».
Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено. При подключении можно задать следующие виды разрешений:
1. «Полный доступ» – все разрешения;
2. «Доступ пользователя» – вход на сервер, запрос информации, переподключение к своему отключенному сеансу;
3. «Доступ гостя» - только вход в систему;
4. «Особые разрешения» – администратор самостоятельно указывает, какие из девяти возможных операций может производить пользователь или группа.
Настройки с помощью групповых политик
Если терминальный сервер работает в среде Active Directory, настройки терминального сервера удобнее производить из редактора групповых политик. Для того чтобы новые терминальные серверы наследовали установленные политики, добавляем группу «Пользователи удаленного рабочего стола» в «Группы с ограниченным доступом», которые настраиваются во вкладке «Параметры безопасности» («Политика безопасности контроллера домена –> Параметры безопасности»). И уже из этой вкладки добавляем участников группы.
Основные настройки производятся с помощью GPO в «Службах терминалов» («Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов»). Все параметры разбиты на несколько категорий: «Лицензирование», «Шифрование и безопасность», «Сеансы» и остальные. Некоторые из них совпадают с имеющимися в «Настройке служб терминалов», что позволяет централизованно управлять настройками TS без необходимости конфигурирования каждого сервера.
Заключение
Вот, собственно, и все настройки терминального сервера. Теперь на клиентском компьютере можно вызывать программу «Подключение к удаленному рабочему столу», которую легко найти в меню «Пуск -> Программы -> Стандартные -> Связь», и подключаться к серверу, используя разрешенные учетные данные.
И еще два совета. Если компьютер используется как сервер терминалов, установку и удаление программ следует производить исключительно через раздел «Панель управления -> Установка и удаление программ». А чтобы правильно завершить работу сервера терминалов, следует использовать команду tsshutdn, с помощью которой можно предупредить пользователей о завершении сеансов, чтобы они успели сохранить работу и отключиться.
это жутко полезная информация! Еще много полезного в википедии скопируйте плз все сюда не хочется ползать по всяким левым сайтам лучше всю инфу иметь под рукой на инфостарте.
Вот, собственно, и все настройки терминального сервера. Теперь на клиентском компьютере можно вызывать программу «Подключение к удаленному рабочему столу», которую легко найти в меню «Пуск -> Программы -> Стандартные -> Связь», и подключаться к серверу, используя разрешенные учетные данные.
????
????
Подскажите, есть ли смысл переводить сервер с Windows 2000 server на windows 2008 server. Стоит ли овчинка выделки. И как обстоят дела в windows 2003 и windows 2008 с поддержкой LPT принтеров. Знаю что в windows 7 такие принтера поднять и заставить работать не удаётся в большинстве случаев. Если бы не отход некоторых современных программ от совместимости с win 2000 server то для малого офиса цены б ему не было.
Я обновлял server 2000 на server 2003. так же стояла SQL под производственную базу, и 14 бух баз. машнка была 2-х процессорная с 4 гигами. Проблем почти небыло. Единственно для МЕНЯ было проблемным, это перенос AD. пол дня жесткой работы с инетом, и проблема была решена. Пусть не пугает мое количество баз, пользователей было 4 человека. Постоянно проводились выгрузки загрузки между базами. Таким образом советую ставить Server2003. Но иметь инет по друкой
(20) AragornYarik, Ну если чешутся и есть время, то почему бы и не попробовать. К тому же, может кому то еще пригодится Твой опыт. Просто на момент выполнения этих работ, 2008 сервер только проявлялся на горизонте. и у меня не было иного выхода как 2003. С тех пор прошло уже несколько лет, а связка так и работает, и никто не лезет что то менять.
Статья полезная для новичков, но как правильно отметили выше - еще бы картинками разбавить ))
А на тему 2003 или 2008 очень многое зависит от используемой с 1С перефирии (принтеры и торговое оборудование). Если с оборудованием проблем нет - то лучше 2008 ставить.
А на тему 2003 или 2008 очень многое зависит от используемой с 1С перефирии (принтеры и торговое оборудование). Если с оборудованием проблем нет - то лучше 2008 ставить.
Как мне перерубать сессию(сеанс - управлять дистанционно рабочим столом Windows Server 2003), заходя через удаленную рабочую станцию с помощью RDP-соединение???
Галочку ставлю на("Пуск"-"Панель управление"-"Система"-"Удаленное использование"-"Дистанционное упарвление рабочим столом") - "Включить удаленный доступ к рабочему столу" и ни черта не получается заходить именно на свою сессию(включенный сеанс).
Зайти получается, но только не на сам сеанс
Галочку ставлю на("Пуск"-"Панель управление"-"Система"-"Удаленное использование"-"Дистанционное упарвление рабочим столом") - "Включить удаленный доступ к рабочему столу" и ни черта не получается заходить именно на свою сессию(включенный сеанс).
Зайти получается, но только не на сам сеанс
Спасибо! Еще говорят зайти консольно на сервер(ключ /console), т.е. вот работаешь ты допустим на серваке под своей сессией, что-то делаешь, а тебя вдруг срочно вызвали, ушел допустим вконец предприятия и оттуда надо зайти тебе снова на сервер, тогда путь такой: "Пуск"-"Выполнить"-"mstsc /admin" смотришь там ключи с которыми ты и запускаешь RDP можно даже и из командной строки ввести команду с ключом, далее команда(которую ты вбил в командной строке - mstsc с ключами) запускает "Подключение к удаленному рабочему столу" - в которой вписываем вписываем свои логин и пароль.
Или при запуске RDP после имени рабочей станции или IP подключаемого удаленного ПК можно ввести данный ключ
Или при запуске RDP после имени рабочей станции или IP подключаемого удаленного ПК можно ввести данный ключ
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот