第11章-終端服務(wù)

第11章-終端服務(wù)本章的任務(wù)介紹什么是遠程桌面在服務(wù)器上啟用遠程桌面功能，在客戶端使用客戶端軟件連接到服務(wù)器在服務(wù)器上安裝終端服務(wù)配置和管理終端服務(wù)發(fā)布桌面應(yīng)用程序在客戶端通過Web方式訪問終端服務(wù)和應(yīng)用程序11.1遠程桌面11.1.1為什么需要遠程桌面為什么需要遠程桌面服務(wù)器通常放在機房內(nèi)，機房內(nèi)電磁輻射大、噪音大、空間小，不是管理員的久留之地。通常管理員除了安裝服務(wù)器硬件、初次安裝操作系統(tǒng)或者數(shù)據(jù)庫等軟件、巡檢時才會到機房，他們是在自己的辦公桌上配置服務(wù)器。這就需要用到遠程桌面，使得管理員能夠遠程管理服務(wù)器。遠程桌面簡介管理員通過網(wǎng)絡(luò)連接到服務(wù)器上，使用Windows的操作界面遠程控制服務(wù)器，就像管理員站在服務(wù)器的跟前一樣。管理員在自己的計算機（稱為客戶端）移動鼠標、單擊鼠標、鍵盤輸入等，通過專門的協(xié)議（RDP，RemoteDesktopProtocol，遠程桌面協(xié)議）將這些指令傳到服務(wù)器上，服務(wù)器執(zhí)行后又通過RDP協(xié)議將結(jié)果傳回到客戶端。客戶端僅僅是從鍵盤、鼠標等接收管理員的指令，或者顯示服務(wù)器執(zhí)行后的結(jié)果，它僅僅是一個輸入/輸出設(shè)備而已，真正負責運算的是服務(wù)器上的CPU，我們可以把客戶端看成是服務(wù)器上的鍵盤線、鼠標線和顯示器線的延長而已。RDP協(xié)議使用傳輸層的TCP3389端口。11.1.2在服務(wù)器上允許遠程桌面連接在WindowsServer2008中，已經(jīng)內(nèi)置了遠程桌面連接功能，但是只允許不超過2個用戶連接到服務(wù)器。默認時只有Administrator可以進行遠程連接，可以在圖11-2中，單擊“選擇用戶”把其它用戶加入。此外，如果設(shè)置Windows防火墻，應(yīng)該把“遠程桌面”設(shè)為例外11.1.3在客戶端上遠程連接到服務(wù)器安裝遠程桌面客戶端程序:客戶端要連接到服務(wù)器需要安裝遠程桌面客戶端程序（TerminalServicesClient），默認時Windows操作系統(tǒng)已經(jīng)安裝了遠程桌面客戶端程序。建議版本為6.0以上，客戶端程序可以到微軟的下載中心免費下載遠程桌面的使用遠程桌面的高級設(shè)置本地資源設(shè)置程序設(shè)置可以設(shè)置遠程桌面連接成功后會自動啟動的程序，該程序是在終端服務(wù)器上執(zhí)行的，登錄成功后，將會看到該程序的界面，而看不到桌面；程序退出后，會自動注銷遠程桌面連接。體驗設(shè)置可以根據(jù)連接線路的帶寬來優(yōu)化連接的性能，實際上是在使用低速連接時關(guān)閉一些不重要的功能，例如“桌面背景”、“菜單和窗口動畫”等以減小通信量。高級設(shè)置服務(wù)器身份驗證將驗證您是否連接到正確的遠程計算機或服務(wù)器。此安全措施可阻止未經(jīng)授權(quán)的遠程計算機攔截數(shù)據(jù)。11.2終端服務(wù)11.2.1為什么需要終端服務(wù)提高服務(wù)器硬件資源的利用率:當前服務(wù)器硬件性能已經(jīng)很好，CPU的利用率通常維持在低水平狀態(tài)。通過使用終端服務(wù)，企業(yè)可以提高服務(wù)器的利用率，同時延長桌面系統(tǒng)硬件的使用期限。因為整個系統(tǒng)的所有處理任務(wù)都是在服務(wù)器端完成的，桌面系統(tǒng)基本上就是一個啞終端，這意味著現(xiàn)有的桌面系統(tǒng)硬件可以選用較為低端、甚至是即將淘汰的桌面系統(tǒng)硬件，降低成本。用戶可以托管單個應(yīng)用而非整個對話用戶可以隨地訪問“工作”計算機應(yīng)用維護更簡便桌面系統(tǒng)受到攻擊的可能性降低11.2.2安裝終端服務(wù)11.2.2安裝終端服務(wù)11.2.2安裝終端服務(wù)11.2.2安裝終端服務(wù)11.2.2安裝終端服務(wù)11.2.2安裝終端服務(wù)客戶端連接到終端服務(wù)器客戶端連接到終端服務(wù)器，有兩種方式：使用客戶端程序，見前面的小節(jié)使用瀏覽器，見后面的小節(jié)11.4。11.2.4終端服務(wù)配置RDP-Tcp連接屬性安全層說明SSL(TLS1.0)SSL(TLS1.0)將用于服務(wù)器身份驗證以及對服務(wù)器與客戶端之間傳輸?shù)乃袛?shù)據(jù)進行加密。協(xié)商（這是默認設(shè)置）將使用客戶端支持的最安全的安全層。如果支持

SSL(TLS1.0)，則使用

SSL(TLS1.0)。如果客戶端不支持

SSL(TLS1.0)，則使用

RDP安全層。RDP安全層服務(wù)器與客戶端之間的通信將使用本機

RDP加密。如果選擇

RDP安全層，則無法使用網(wǎng)絡(luò)級身份驗證。加密級別含義低使用56為加密算法對從客戶端到服務(wù)器的數(shù)據(jù)進行加密，但從服務(wù)器發(fā)向客戶端的數(shù)據(jù)不加密客戶端兼容以客戶端支持的最大密鑰強度加密客戶端和服務(wù)器端之間的通信，如果客戶端軟件新舊混合，請選擇此級別高使用128為加密算法對從客戶端和服務(wù)器的之間數(shù)據(jù)進行加密，如果客戶端不支持加密此加密算法會導(dǎo)致無法連接

符合FIPS標準使用Microsoft加密模塊，用FIPS加密算法加密客戶端和服務(wù)器之間的通信RDP-Tcp加密級別登錄設(shè)置會話設(shè)置當會話達到限制或者連接被中斷時，可以選擇將用戶從會話中斷開連接或結(jié)束會話。會話結(jié)束后會話會永久地從服務(wù)器中刪除，而任何運行的應(yīng)用程序都會強行退出，這可能會導(dǎo)致數(shù)據(jù)丟失。當已斷開的會話達到會話限制時，此會話將結(jié)束，并永久地從服務(wù)器上刪除。也可以允許會話不確定地繼續(xù)執(zhí)行。環(huán)境設(shè)置設(shè)置客戶機登錄后啟動的應(yīng)用程序遠程控制遠程控制是從一個會話遠程控制另一個會話客戶端設(shè)置可以控制遠程計算機的本地資源是否在遠程桌面中顯示出來網(wǎng)卡設(shè)置權(quán)限設(shè)置服務(wù)器屬性默認時終端服務(wù)器會為每個新的會話創(chuàng)建單獨的臨時文件夾，使得每個用戶可以存儲各自的臨時文件，可以設(shè)置服務(wù)器不為每個會話創(chuàng)建單獨的文件夾，而讓所有的會話使用共同的文件夾。用戶注銷時會刪除這些臨時文件夾，也可以設(shè)置用戶注銷時不刪除這些文件夾。如果設(shè)置每個用戶只能進行一個會話，將只允許每個用戶進行一個遠程桌面連接，如果相同用戶打開另一個連接，前面的連接會被中斷。

授權(quán)設(shè)置11.2.5終端服務(wù)管理“用戶”選項卡用鼠標右擊某一用戶可以斷開、復(fù)位、注銷、遠程控制會話或者向用戶發(fā)送消息?！皶挕边x項卡可以查看連接到終端服務(wù)器的會話信息“進程”選項卡11.2.6許可證服務(wù)器遠程客戶在登錄到終端服務(wù)器時必須收到由終端服務(wù)器許可證服務(wù)器頒發(fā)的有效許可，否則在客戶首次登錄的120天后，終端服務(wù)器會停止它們的連接請求，因此要在網(wǎng)絡(luò)中安裝許可證服務(wù)器并激活許可證服務(wù)器。激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器11.3TSWeb訪問在客戶端除了使用客戶端軟件（TerminalServicesClient）連接終端服務(wù)器，也可以使用Web方式連接終端服務(wù)器。在服務(wù)端需要安裝“TSWeb訪問”角色服務(wù)。客戶端使用Web方式連接終端服務(wù)器步驟在瀏覽器中輸入://服務(wù)器名或者IP地址/ts，輸入用戶名和密碼客戶端的計算機需要安裝TSWeb訪問插件（終端服務(wù)ActiceX客戶端）才能在瀏覽器連接終端服務(wù)器11.4RemoteApp程序11.4.1什么是TSRemoteApp？TSRemoteApp使程序可以通過終端服務(wù)進行遠程訪問，就好像運行在最終用戶的本地計算機上一樣。這些程序稱為

RemoteApp程序。RemoteApp程序與客戶端的桌面集成在一起，而不是在遠程終端服務(wù)器的桌面中向用戶顯示。RemoteApp程序在自己的可調(diào)整大小的窗口中運行，可以在多個顯示器之間拖動，并且在任務(wù)欄中有自己的條目。如果用戶在同一臺終端服務(wù)器上運行多個

RemoteApp程序，RemoteApp程序?qū)⒐蚕硗粋€終端服務(wù)會話。用戶可以通過多種方式訪問

RemoteApp程序。在本地計算機上打開

RemoteApp程序之后，用戶可以與正在終端服務(wù)器上運行的該程序進行交互，就好像它們在本地運行一樣。11.4.2發(fā)布應(yīng)用程序11.4.2發(fā)布應(yīng)用程序11.4.2發(fā)布應(yīng)用程序11.4.2發(fā)布應(yīng)用程序11.4.2發(fā)布應(yīng)用程序可以創(chuàng)建WindowsInstaller程序包，則用戶使用該程序包安裝后，使用快捷方式就能訪問應(yīng)用程序11.4.2發(fā)布應(yīng)用程序在“快捷方式圖標”區(qū)，可以選擇安裝程序后是否在桌面或者“開始”菜單創(chuàng)建快捷方式；在“接管客戶端擴展”區(qū)，可以選擇是否將應(yīng)用程序和相應(yīng)的文件進行關(guān)聯(lián)，例如打開“.doc文件”11.4.3訪問應(yīng)用程序有三種方式可以訪問應(yīng)用程序：rdp文件Web訪問方式WindowsInstaller程序包rdp文件把在上一節(jié)創(chuàng)建的rdp文件發(fā)送給客戶，在客