>

因为有些应用程序出现在远程桌面上通过终端服

- 编辑:澳门博发娱乐官网 -

因为有些应用程序出现在远程桌面上通过终端服

终端服务是在Windows NT中首先引入的一个服务。终端服务使用RDP协议(远程桌面协议)客户端连接,使用终端服务的客户可以在远程以图形界面的方式访问服务器,并且可以调用服务器中的应用程序、组件、服务等,和操作本机系统一样。这样的访问方式不仅大大方便了各种各样的用户,而且大大地提高了工作效率,并且能有效地节约企业的成本。

【说明】这是《中小企业虚拟机解决方案大全》一书中部分章节的摘抄。该书预计于2009年12月初由《电子工业出版社》出版,敬请期待!

虚拟化是现今的热门话题,不过人们大多时候都只将它与虚拟机和操作系统虚拟化关联起来。但自 Windows NT 4.0 发布以来,终端服务就已开始抽象为远程运行的应用程序和桌面的表示层了。终端服务自那时起由来已久,而 Windows Server 2008 则提供了成熟而可靠的虚拟化演示平台。我重点谈一谈终端服务当中的重点改进区域。

序言:互联网发展的今天,我们如何管理WINDOWS下的远程计算机?办法有很多,一种就是借助远程管理软件,比如VNC、RemotelyAnywhere等。这类软件是第三方开发的,而且需要安装,另外一种方法就是利用远程桌面协议(RDP)即系统自带的远程桌面和远程桌面服务来远程管理WINDOWS下的计算机,本文主要讨论后者。  

终端服务允许组织通过各种Windows设备在各地访问标准Windows程序,无论是内网还是外网这种访问都是畅通无阻的。而在Windows Server 2008的终端服务中则包含了无缝集成的远程程序。我们先介绍一下关于远程计算的的四个W,然后介绍具体的安装配置。

sbf282.com, 

终端服务中的新功能

第一个问题,什么是RDP?

sbf282.com 1 

通过远程桌面服务,组织可以为用户提供随时随地通过 Internet 或 Intranet 访问任何 Windows 设备上标准 Windows 程序的权限。RemoteApp 则可帮助您配置程序,使用户可以通过远程桌面服务远程访问程序,就如同最终用户在本地计算机上运行这些程序一样。这些程序称为 RemoteApp 程序。

Windows Server 2008 中的终端服务有许多新特色和功能:

远程桌面协议(RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下,该协议的客户端代理内置在微软的操作系统中。 RDP的服务器端安装在微软操作系统上,从客户端代理接收请求,显示发布应用程序的图,或者远程访问系统本身。在默认情况下,系统在端口3389来监听来自客户端的通过RDP的连接请求。甚至有些人认为,RDP就是在WIN系统下取代了TELNET技术的一种基于图形界面的远程管理工具。  

什么是远程程序(what)

使用 RemoteApp 管理器使在远程桌面会话主机(RD 会话主机)服务器上安装的程序可供用户用作 RemoteApp 程序。RemoteApp 管理器会自动安装在已安装 RD 会话主机角色服务的计算机上。

终端服务 RemoteApp Windows Server 2008 中一个最显著的更改是远程运行单一应用程序的能力。在旧版的终端服务中,即使您只希望访问单一应用程序,还是会传输整个远程桌面。这对用户来说,常常容易造成混淆,因为有些应用程序出现在远程桌面上通过终端服务),而有些出现在本地桌面上 — 要记住哪个桌面有哪个应用程序可能颇具挑战性。现在,通过终端服务访问的应用程序看上去和运行在用户的本地计算机上的应用程序一样,行为表现也一样。

第二个问题,RDP与远程桌面与远程桌面服务的关系

远程程序是一种通过终端服务运行的实现远程访问的程序,这种程序看上去就好像是运行在用户的终端计算机上一样。用户可以并行的运行他们的本地程序以及远程程序。如果一个用户在同一台终端服务器上运行多个远程程序的话,远程程序将会共享同一个终端服务会话。

1 什么是 RemoteApp?

终端服务 Web 访问 每个人都特别希望有个简单的方法能让最终用户激活应用程序。TS Web 访问满足了这项需要,它允许系统管理员将个别应用程序发布到网页。TS Web 访问包含一个默认网页,可供立即部署,也可以自定义并集成到 SharePoint 网站中。若要通过 TS Web 访问激活 TS RemoteApp,用户要访问一个网页从 Internet 或内部网络访问),查看所有可用应用程序的列表,然后单击要激活的应用程序。

可以通俗的这样理解,RDP是一种标准,就如同TCP/IP协议一样,不过不同的是他是微软公司创建的专用协议,而远程桌面与远程桌面服务就是它的实例—即实际应用。  

在Windows Server 2008中,用户可以通过下面的三种方式来运行远程程序:

RemoteApp 使您可以通过远程桌面服务远程访问程序,就好像它们在最终用户的本地计算机上运行一样。这些程序称为 RemoteApp 程序。RemoteApp 程序与客户端的桌面集成在一起,而不是在远程桌面会话主机(RD 会话主机)服务器的桌面中向用户显示。RemoteApp 程序在自己的可调整大小的窗口中运行,可以在多个显示器之间拖动,并且在任务栏中有自己的条目。如果用户在同一个 RD 会话主机服务器上运行多个 RemoteApp 程序,则 RemoteApp 程序将共享同一个远程桌面服务会话。

在 Windows Server 2003 中,要从浏览器启用连接,需要另外一个称为远程桌面网站连接 (RDWC) 的 ActiveX 控件。这个控件现在已直接内置到主要的远程桌面连接 (RDC) 客户端中,所以客户端上完全不需要下载或安装任何东西。另外还支持完整的远程桌面协议 (RDP) 功能集,而旧版的 RDWC 客户端是不支持该功能集的。

第三个问题,远程桌面与远程桌面服务区别是什么?

  1. 双击一个管理员创建并分配的.rdp文件

用户可以通过多种方式访问 RemoteApp 程序。用户可以:

<span class="ArticleInlineTitle">终端服务网关 </span>TS 网关是 Windows Server 2008 中最重要的新功能之一。RDP 通信量在端口 3389 上运行,而系统管理员在将终端服务器部署到防火墙以外的用户时,碰到的最主要的一个问题就是必须在防火墙内打开该端口不建议这样做),或使用不同的 VPN 解决方案成本高昂)。有了 TS 网关,RDP 流量会通过 HTTPS端口 443)以隧道方式传输,以便在 Internet 上的远程用户与终端服务器或远程计算机)之间建立加密连接。更棒的是,即使用户或终端服务器位于基于网络地址转换 (NAT) 遍历的路由器背后,此方案依然可行。

关于这个问题,我相信很多人都会有疑问。远程桌面与远程桌面服务貌似就差“服务”两个字,怎么还有区别吗?要谈这个,还是先看一下它们的历史吧。“从 Windows 2000 开始,几乎任何人都可以轻松地远程访问服务器系统,因为终端服务已作为可选的 Windows 组件引入,并且可以对其进行配置,因此您可以将系统用作实际的终端服务器或用作我们现在所说的远程桌面。Windows Server® 2003 和Windows XP 提供本机远程桌面功能,允许您像在本地进行控制一样控制系统。”(关于终端服务,我下面再去解释)。我来通俗的解释一下这段话。

2. 双击桌面上的一个程序图标或者在开始菜单中点击管理员创建并分配的.msi文件。

ü 使用远程桌面 Web 访问(RD Web 访问)

TS 网关可与 Windows Server 2008 的另一项功能“网络访问保护”(NAP) 相结合,在授予终端服务资源的访问权之前,帮助确认客户端计算机的运行状况。

 

3. 双击一个后缀与远程程序关联的文件,它们将会被管理员通过.msi的安装文件进行配置。

ü 双击已由管理员创建并分发的远程桌面协议 (.rdp) 文件。

终端服务会话 Broker Windows Server 2000 推出了网络负载平衡 (NLB),它虽然与 Web 服务器搭配非常合适,但并不适合于终端服务的负载平衡。全新的 TS 会话 Broker 是绝佳的替代方案,它扩展了 Windows Server 2003 的会话目录功能来支持以会话为基础的负载平衡。

    远程桌面从WINDOWS XP和WINDOWS 2003时代已经使用了,远程桌面说白了就是像控制远程的计算机感觉像在本地操作一样方便,我们利用桌面客户端工具连接到远程计算机,远程计算机的桌面直接显示到了我们的本地计算机,我们可以利用本地的鼠标和键盘操作远程的计算机,比如运行一个程序,虽然程序本身是在远程计算机运行的,但是运行的结果,可以及时的在本地看到。那个神秘的远程客户端工具就是我们经常见到的远程桌面连接,如下图(1.1)  

.rdp和.msi文件包括了运行远程程序所需的设置。在本地计算机上运行了远程程序后,用户可以像运行本地程序一样对运行在终端服务器上的远程程序进行交互。

ü 在桌面或「开始」菜单上,双击由管理员使用 Windows Installer (.msi) 程序包创建并分发的程序图标。

通过 TS 会话 Broker,新会话可以散布到场内负载最少的服务器,而且用户不必知道会话建立的位置,就能与现有会话重新连接。IT 管理员能够使用此功能将每个终端服务器的 IP 地址映射到单一 DNS 条目。此配置还能提供容错,如果其中某一个场服务器无法使用,用户可连接到场内负载次少的服务器。

sbf282.com 2

为什么需要远程计算? (Why)

ü 双击文件扩展名与 RemoteApp 程序关联的文件。这可以由管理员使用 Windows Installer 程序包进行配置。

终端服务轻松打印 打印一直是许多终端服务环境系统管理员的噩梦。因为服务器和客户端计算机上必须同时装有相匹配的打印驱动程序,所以最终用户安装打印机时的可选余地较小,系统管理员也必须费心考虑如何在服务器上管理打印驱动程序。相反,有了 TS Easy Print,用户现在可以从 TS RemoteApp 或完整的桌面会话可靠地打印到本地打印设备,无论是直接连接到设备还是通过网络连接到设备皆可。最棒的是,现在无需在终端服务器上安装驱动程序,就能支持打印机。

(图1.1)

从表面上来看,我们确实不需要用PC来满足大多数的计算需求,计算机资源的利用率极低——在白天的时候,很多人的计算机的处理器只有百分之几的时间处于繁忙状态,而在夜间甚至根本都不用计算机。即便是以数据中心为例,对不同的数据中心而言,在通过虚拟化实现服务器整合之前,其利用率也通常只有5%-15%。

.rdp 文件和 Windows Installer 程序包包含运行 RemoteApp 程序所需的设置。在本地计算机上打开 RemoteApp 程序之后,用户可以与正在 RD 会话主机服务器上运行的该程序进行交互,就好像它们在本地运行一样。

当用户要从 TS RemoteApp 程序或桌面会话打印时,可以在本地客户端看到完整的打印机属性对话框,还可以访问所有打印机功能例如水印、自动分页和装订)。当用户打印时,打印作业在服务器上以 Microsoft XPS 文档格式呈现,并传送到客户端。另外,通过 TS Easy Print,系统管理员可以使用组策略来限制只重定向到默认打印机的打印机数目,从而减少开销并改进可伸缩性。

而所谓的服务器端默认的已经安装好的,另外Windows XP 和更高版本的 Windows 中增加了远程协助,远程协助可提供与远程桌面相似的体验,但远程协助是专门为本地用户向远程用户请求协助而设计的。随着远程访问支持的不断演变,Windows Vista® 现在允许远程用户提供远程协助(如果组策略允许)。

另外,我们经常还要做大量工作,来升级操作系统和应用软件,确保计算机免受病毒、恶意程序和其他安全威胁的攻击,并对数据定期进行备份。尽管这些方面已经实现了一定的自动化,但还是有很多人会一天到晚地提醒你升级、更新、重新购买种种软硬件产品的最新版本,这实在是有点烦!想想看,如果电视机也要这样不停地升级,我们的生活将会怎样?

为什么使用 RemoteApp?在许多情况下,RemoteApp 可以降低复杂程度并减少管理开销,包括:

这些都是 Windows Server 2008 中的“重量级”功能。我们会在下文再度讨论 TS RemoteApp、TS Web 访问、TS 网关以及 TS 会话 Broker。首先,我们看一下此版本中其他同样出色但不太明显的功能。

我们只要勾选远程桌面和远程协助功能即可。如下图(1.2)  

还有一个问题就是,如果文件被存放在不同的机器上,这也会带来一些不便,因为这些机器之间可能无法容易地相互访问。假设我在家里、在单位、在度假时会同时操作同一个文档,这通常就会需要各种各样的软件来支持。而如果互联网可以提供一种简单的、在线的、分布式计算环境的话,我们的工作和生活又会怎样呢?估计麻烦会少很多。

ü 分支机构,其本地 IT 支持和网络带宽可能有限。

 

sbf282.com 3  

哪些人,哪些场景需要远程程序 (when,where)

ü 用户需要远程访问程序的情况。

安全性功能

(图1.2)

对于例如评估产品的IT规划师和分析师,企业IT规划设计者以及先期的测试用户来说,远程程序是非常有用的。而远程程序的应用场景则主要集中在下面几方面:

ü 部署行业 (LOB) 程序,尤其是自定义 LOB 程序。

安全性在新版本的终端服务中已得到增强。

另外需要注意的是WINDOWS操作系统分为WINDOWS 和WINDOWS  SERVER两大类。前者无论是WINDOWS XP还是WINDOWS 7 “每次只能登录一个交互式用户。当 Windows XP 中的快速用户切换允许登录多个用户时,无论这些用户对于 PC 是本地用户还是远程用户,只有一个用户可以交互地使用鼠标或键盘。”上面这段话的意思就是说如果你本地登录的同时,是无法进行远程登录的。或者换一种说法,如果你正在远程登录,这时候如果恰巧有人要本地登录该计算机,那么会立刻中断远程登录的。这就是WINDOWS系统远程登录最大的弊病。另外还有说明的是,并不是所有的WINDOWS系统都支持远程桌面模式,比如WIN7家庭版和高级家庭版就不支持。

· 商业应用程序部署线

ü 没有为用户分配计算机的环境,例如“公用办公桌”或“旅馆式办公”工作区。

网络级别身份验证 (NLA) 和服务器身份验证 (SA) 在旧版的 TS 中,用户在 RDC 客户端上单击“连接”之后,系统会显示登录屏幕,这为恶意攻击者对终端服务器的登录屏幕发动拒绝服务或拦截式攻击提供了可乘之机。现在,NLA 会在 TS 会话开始在服务器运行并向用户显示登录屏幕之前,先让用户、客户端计算机和服务器凭据彼此进行验证。服务器身份验证使用传输层安全性 (TLS) 来帮助确保客户端正在连接的是合法的终端服务器,而不是恶意计算机。

而WINDOWS SERVER版包括WINDOWS 2003、WINDOWS 2008、WINDOWS 2008R2、甚至是WINDOWS SERVER2012等“Windows Server 版本(不作为终端服务器运行),可以一次连接两个远程桌面会话。要在 Windows Server 2003 中通过远程桌面连接到实际控制台会话,您需要使用可选参数 /console 启动终端服务客户端应用程序(MSTSC.exe)。控制台会话非常重要,因为一些较早的应用程序由于设计不合理,未考虑终端服务会话,常常会仅在控制台会话(会话 0)上弹出一些对话框。”从上面这段话我们可以看到WINDOWS SERVER系统一次可以连接2个远程桌面,但是不能再多了。最终我们可以得出 远程桌面——是为了方便管理员远程登录到计算机,而像在本机一样管理远程计算机的一种功能组件,所以默认允许利用远程桌面登录的用户账号就是administrators(管理员组和)Remote Desktop Users(远程桌面用户组)如下图1.3、1.4  

· 漫游用户

ü 如果部署某个程序的多个版本,尤其是在本地安装多个版本时,可能会造成冲突。

单一登录 用户希望能够使用一组凭据用户和密码的组合,或智能卡和 PIN 的组合)只进行一次身份验证,而不是每次使用新资源时都被要求进行身份验证。在此版本中,如果计算机运行 Windows Vista 或 Windows Server 2008 并连接到基于 Windows Server 2008 的终端服务器或 TS 网关,而且加入了域,则现在可以利用单一登录。

sbf282.com 4  

· 应用程序部署

【说明】上述信息参考自Windows Server 2008 R2帮助。

系统级别强化 Windows Vista 和 Windows Server 2008 都有全新的系统级别强化,这基本上会将操作系统的组件模块化,并以较低权限级别来运行它们。在终端服务中,这项功能是通过将内核 TS 引擎 (termsrv.dll) 分成两个不同的组件lsm.exe 和 termsrv.dll,前者为内核会话管理员,后者用于远程连接)而实现的。

(图1.3)

1)业务部门应用程序

实际上,RemoteApp是Windows 终端服务的“改进”,以前的终端服务,默认是发布整个桌面“包括开始菜单、资源管理器等等”,即使用户只需要运行终端服务器上的一个程序,也是发布整个桌面(可以修改设置,只运行一个指定的程序)。而在Windows Server 2008中,Microsoft将终端服务进行了扩展,该服务提供了更多、更有实际意义的功能。

在过去,termsrv.dll 以较高的系统权限级别运行。现在,在新的 lsm.exe 中,只有三分之一的原始 termsrv.dll 代码以该级别运行,其余三分之二都在低得多的网络服务权限级别运行。与 Windows Server 2003 相比,这项更改大幅减小了受攻击面。

看上面的文字描述,另图中的administrator是管理员账号,默认属于administrators组(管理员组,注意后面加了S就是组)所有拥有远程访问权限。  

作为一个合并的按理,公司间的并购是一个非常典型的案例,公司需要为不同的Windows版本和配置指定出一致的业务部门应用程序。比起花费大量财力物力在所有的计算机上部署业务部门应用程序的做法,选择使用远程程序,将业务部分的应用程序安装在一台终端服务器上不失为一种明智之选。

由于是采用RDP协议访问终端服务器并使用终端服务器提供的应用程序,所以,该种方式对工作站的要求比较低:因为所有的程序都运行在服务器端,工作站端只是显示服务器运行的程序的结果,并将用户的键盘、鼠标输入反馈到服务器端执行相应的操作,服务器端将运行结果显示在工作站上。所以,这种方式可以用来升级工作站。本人测试这一产品的目的,也是想用来升级学校两个配置比较低的机房,以用来运行VS2008、AutoCAD 2005等大型软件。

 

sbf282.com 5

2)漫游用户

作为终端服务的改进,RemoteApp可以很好的与用户工作站的本地磁盘、打印机进行交互。在使用RemoteApp,可以直接访问用户的磁盘并可以使用用户的打印机,而不像以前的终端服务那样,需要在终端服务器与客户端都安装打印驱动程序。

用户体验功能

                   (图1.4)

在很多的公司都会配置自己灵活的桌面策略,用户可以非常方便的工作于不同的计算机上,在这种环境下,很多的软件其实并不需要安装到本地的计算机上,使用远程程序,只要程序所安装在的终端服务器对用户一直可用就可以满足用户的需求。

下面将在Windows Server 2008 R2中文版中,体验RemoteApp功能。

有不少改进可帮助用户:

注:以上讨论的是在工作组模式中,在域模式中比较复杂,我将在以后的文章进行讨论。

3)应用程序部署

2 在服务器上安装远程桌面

自定义显示分辨率 随着大型监视器的发展和显示分辨率比例类型的日益广泛,Windows Server 2008 终端服务也进行了升级以满足您的需要。

 

使用远程程序,管理员无需在去每台计算机上部署和维护相同程序的不同版本,如果用户需要使用某个程序的不同版本,那么这些不同的版本可以安装在一台或者多台终端服务器上,用户可以通过这些服务器来使用远程程序。

在Windows Server 2008 R2服务器上,安装IIS与远程桌面服务,如图1、图2所示。

用户能够设置自定义显示分辨率高达 4096 x 2048),或将比例更改为 16:9 或 16:10 以获得宽屏幕体验。各种新监视器配置都得到支持,例如分辨率为 1680 x 1050 或 1920 x 1200 的监视器。Windows Server 2003 最高支持 1600 x 1200 的分辨率且只支持 4:3 显示分辨率比例,因此这是一项重大改进。您可以通过 RDC 客户端对话框、.rdp 文件或命令提示符来设置自定义显示分辨率。

通过以上的描述,我想我们已经对远程桌面已经有一些了解了,但是随之问题也就来了。我们在生产过程中可能会有以下问题:

NT中首先引入的一个服务。终端服务使用RDP协议(远程桌面协议)客户端连接,使用终端服务的客户可以在远程以图形界面...

sbf282.com 6

若要在 .rdp 文件中设置自定义显示分辨率,请在文本编辑器中打开 .rdp 文件,并添加或更改下列设置请注意 <value> 是分辨率,例如 1680 或 1050):

第一,   如果我需要在WINDOWS SERVER上有5个用户通过远程桌面访问呢?注意这里说的是并行,或者说5人同时登录。如果是WINDOWS系统建议就不要问了,毕竟它不是服务器版的操作系统

图1 添加角色

复制代码

第二,   如果需要利用远程桌面登录某一台WINDOWS SERVER的用户特别的多,我如何能限制我授权他登录才能登录,并且只能访问指定的文件或程序呢?别跟我说每次都要在管理员组和远程桌面用户组中建立和删除,太麻烦

sbf282.com 7

desktopwidth:i:<value>
desktopheight:i:<value>

第三,   我有一套特别昂贵和复杂的软件装到了一台WINDOWS SERVER中,这款软件不是基于B/S模式的(即不能通过浏览器访问。好像有点逆天了,目前基于B/S的软件越来越多了)也不是基于C/S模式的。而且可能至少有5个人以上使用它。由于软件昂贵,所以不可能再5台机器上本地安装。怎么办?

图2 添加IIS与远程桌面服务

若要从命令提示符设置自定义显示分辨率,请按下列语法使用 mstsc.exe 命令请注意 <width> 和 <height> 是分辨率,例如 1680 或 1050):

这里我们可以用这样的假设,不过这样的假设容易侵权,不过主要还是为了便于理解。假设,一套3DMAX软件,买一套正版需要30000元,现在有5个人用,那么只要是5个30000元,而且这5个人几个月才用一次,太浪费了。所以买一套安装在WINDOWS SERVER中,大家都远程登录计算机来应用此软件,省钱呀。

安装服务之后,重新启动计算机。

 

 

3 安装用于RemoteApp的程序

复制代码

第四,   我们想从家里或公司外面利用远程登录访问公司内部的计算机,我还木有VPN,因为是内部计算机,这台计算机用的是私网IP,肿么办?

本文由胜博发-运维发布,转载请注明来源:因为有些应用程序出现在远程桌面上通过终端服