第11章终端服务本章的任务介绍什么是远程桌面在服务器上启用远程桌面功能,在客户端使用客户端软件连接到服务器在服务器上安装终端服务配置和管理终端服务发布桌面应用程序在客户端通过Web方式访问终端服务和应用程序11.1远程桌面11.1.1为什么需要远程桌面为什么需要远程桌面服务器通常放在机房内,机房内电磁辐射大、噪音大、空间小,不是管理员的久留之地。通常管理员除了安装服务器硬件、初次安装操作系统或者数据库等软件、巡检时才会到机房,他们是在自己的办公桌上配置服务器。这就需要用到远程桌面,使得管理员能够远程管理服务器。远程桌面简介管理员通过网络连接到服务器上,使用Windows的操作界面远程控制服务器,就像管理员站在服务器的跟前一样。管理员在自己的计算机(称为客户端)移动鼠标、单击鼠标、键盘输入等,通过专门的协议(RDP,RemoteDesktopProtocol,远程桌面协议)将这些指令传到服务器上,服务器执行后又通过RDP协议将结果传回到客户端。客户端仅仅是从键盘、鼠标等接收管理员的指令,或者显示服务器执行后的结果,它仅仅是一个输入/输出设备而已,真正负责运算的是服务器上的CPU,我们可以把客户端看成是服务器上的键盘线、鼠标线和显示器线的延长而已。RDP协议使用传输层的TCP3389端口。11.1.2在服务器上允许远程桌面连接在WindowsServer2008中,已经内置了远程桌面连接功能,但是只允许不超过2个用户连接到服务器。默认时只有Administrator可以进行远程连接,可以在图11-2中,单击“选择用户”把其它用户加入。此外,如果设置Windows防火墙,应该把“远程桌面”设为例外11.1.3在客户端上远程连接到服务器安装远程桌面客户端程序:客户端要连接到服务器需要安装远程桌面客户端程序(TerminalServicesClient),默认时Windows操作系统已经安装了远程桌面客户端程序。建议版本为6.0以上,客户端程序可以到微软的下载中心免费下载远程桌面的使用远程桌面的高级设置本地资源设置程序设置可以设置远程桌面连接成功后会自动启动的程序,该程序是在终端服务器上执行的,登录成功后,将会看到该程序的界面,而看不到桌面;程序退出后,会自动注销远程桌面连接。体验设置可以根据连接线路的带宽来优化连接的性能,实际上是在使用低速连接时关闭一些不重要的功能,例如“桌面背景”、“菜单和窗口动画”等以减小通信量。高级设置服务器身份验证将验证您是否连接到正确的远程计算机或服务器。此安全措施可阻止未经授权的远程计算机拦截数据。11.2终端服务11.2.1为什么需要终端服务提高服务器硬件资源的利用率:当前服务器硬件性能已经很好,CPU的利用率通常维持在低水平状态。通过使用终端服务,企业可以提高服务器的利用率,同时延长桌面系统硬件的使用期限。因为整个系统的所有处理任务都是在服务器端完成的,桌面系统基本上就是一个哑终端,这意味着现有的桌面系统硬件可以选用较为低端、甚至是即将淘汰的桌面系统硬件,降低成本。用户可以托管单个应用而非整个对话用户可以随地访问“工作”计算机应用维护更简便桌面系统受到攻击的可能性降低11.2.2安装终端服务11.2.2安装终端服务11.2.2安装终端服务11.2.2安装终端服务11.2.2安装终端服务11.2.2安装终端服务11.2.3客户端连接到终端服务器客户端连接到终端服务器,有两种方式:使用客户端程序,见前面的小节11.1.3使用浏览器,见后面的小节11.4。11.2.4终端服务配置RDP-Tcp连接属性安全层说明SSL(TLS1.0)SSL(TLS1.0)将用于服务器身份验证以及对服务器与客户端之间传输的所有数据进行加密。协商(这是默认设置)将使用客户端支持的最安全的安全层。如果支持SSL(TLS1.0),则使用SSL(TLS1.0)。如果客户端不支持SSL(TLS1.0),则使用RDP安全层。RDP安全层服务器与客户端之间的通信将使用本机RDP加密。如果选择RDP安全层,则无法使用网络级身份验证。加密级别含义低使用56为加密算法对从客户端到服务器的数据进行加密,但从服务器发向客户端的数据不加密客户端兼容以客户端支持的最大密钥强度加密客户端和服务器端之间的通信,如果客户端软件新旧混合,请选择此级别高使用128为加密算法对从客户端和服务器的之间数据进行加密,如果客户端不支持加密此加密算法会导致无法连接符合FIPS标准使用Microsoft加密模块,用FIPS加密算法加密客户端和服务器之间的通信RDP-Tcp加密级别登录设置会话设置当会话达到限制或者连接被中断时,可以选择将用户从会话中断开连接或结束会话。会话结束后会话会永久地从服务器中删除,而任何运行的应用程序都会强行退出,这可能会导致数据丢失。当已断开的会话达到会话限制时,此会话将结束,并永久地从服务器上删除。也可以允许会话不确定地继续执行。环境设置设置客户机登录后启动的应用程序远程控制远程控制是从一个会话远程控制另一个会话客户端设置可以控制远程计算机的本地资源是否在远程桌面中显示出来网卡设置权限设置服务器属性默认时终端服务器会为每个新的会话创建单独的临时文件夹,使得每个用户可以存储各自的临时文件,可以设置服务器不为每个会话创建单独的文件夹,而让所有的会话使用共同的文件夹。用户注销时会删除这些临时文件夹,也可以设置用户注销时不删除这些文件夹。如果设置每个用户只能进行一个会话,将只允许每个用户进行一个远程桌面连接,如果相同用户打开另一个连接,前面的连接会被中断。授权设置11.2.5终端服务管理“用户”选项卡用鼠标右击某一用户可以断开、复位、注销、远程控制会话或者向用户发送消息。“会话”选项卡可以查看连接到终端服务器的会话信息“进程”选项卡11.2.6许可证服务器远程客户在登录到终端服务器时必须收到由终端服务器许可证服务器颁发的有效许可,否则在客户首次登录的120天后,终端服务器会停止它们的连接请求,因此要在网络中安装许可证服务器并激活许可证服务器。激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器激活许可证服务器11.3TSWeb访问在客户端除了使用客户端软件(TerminalServicesClient)连接终端服务器,也可以使用Web方式连接终端服务器。在服务端需要安装“TSWeb访问”角色服务。客户端使用Web方式连接终端服务器步骤在浏览器中输入http://服务器名或者IP地址/ts,输入用户名和密码客户端的计算机需要安装TSWeb访问插件(终端服务ActiceX客户端)才能在浏览器连接终端服务器11.4RemoteApp程序11.4.1什么是TSRemoteApp?TSRemoteApp使程序可以通过终端服务进行远程访问,就好像运行在最终用户的本地计算机上一样。这些程序称为RemoteApp程序。RemoteApp程序与客户端的桌面集成在一起,而不是在远程终端服务器的桌面中向用户显示。RemoteApp程序在自己的可调整大小的窗口中运行,可以在多个显示器之间拖动,并且在任务栏中有自己的条目。如果用户在同一台终端服务器上运行多个RemoteApp程序,RemoteApp程序将共享同一个终端服务会话。用户可以通过多种方式访问RemoteApp程序。在本地计算机上打开RemoteApp程序之后,用户可以与正在终端服务器上运行的该程序进行交互,就好像它们在本地运行一样。11.4.2发布应用程序11.4.2发布应用程序11.4.2发布应用程序11.4.2发布应用程序11.4.2发布应用程序可以创建WindowsInstaller程序包,则用户使用该程序包安装后,使用快捷方式就能访问应用程序11.4.2发布应用程序在“快捷方式图标”区,可以选择安装程序后是否在桌面或者“开始”菜单创建快捷方式;在“接管客户端扩展”区,可以选择是否将应用程序和相应的文件进行关联,例如打开“.doc文件”11.4.3访问应用程序有三种方式可以访问应用程序:rdp文件Web访问方式WindowsInstaller程序包rdp文件把在上一节创建的rdp文件发送给客户,在客户端运行该文件,输入用户名和密码即可Web访问方式先用Web方式连接到服务器(见前面的小节11.3),单击“RemoteApp程序”链接,再单击应用程序的图标即可WindowsInstaller程序包把在上一节创建的程序包发送给客户,客户进行安装。再双击安装程序自动生成的快捷方式即可。该方式的最大优点是可以把某种类型的文件和应用程序进行关联。ThankYou.