windows2008终端服务器的详细介绍

终端服务概述更新时间:2008年4月应用到:WindowsServer2008什么是终端服务？通过WindowsServer®2008中的“终端服务”服务器角色提供的技术，用户可以访问终端服务器上安装的基于Windows的程序或访问完整的Windows桌面。使用终端服务，用户可以在企业网络内部或通过Internet访问终端服务器。终端服务可使您在企业环境中有效地部署和维护软件。可以很容易从中心位置部署程序。由于将程序安装在终端服务器上，而不是安装在客户端计算机上，所以，更容易升级和维护程序。用户访问终端服务器上的某个程序时，在服务器上执行该程序。只有键盘、鼠标和显示器信息才通过网络传输。每个用户只能看到自己的会话。服务器操作系统透明地管理会话，与任何其他客户端会话无关。有关终端服务的详细信息，请参阅WindowsServer2008技术中心上的“终端服务”页(=48555)（可能为英文网页）。为什么使用终端服务？如果在终端服务器上（而不是在每台设备上）部署程序，则可以带来诸多好处。包括：可以快速地将基于Windows的程序部署到整个企业中的计算设备上。在程序经常需要更新、很少使用或难以管理的情况下，终端服务尤其有用。终端服务可以显著减少访问远程应用程序所需的网络带宽。终端服务有助于提高用户的工作效率。用户可以从家用计算机、展台、低能耗硬件等设备以及非Windows操作系统访问终端服务器上运行的程序。对于需要访问中心数据存储的分支机构工作人员来说，终端服务可提供更好的程序性能。有时，数据密集型程序没有针对低速连接进行优化的客户端/服务器协议。较比典型的广域网连接而言，此类通过终端服务连接运行的程序性能会更好。终端服务角色服务终端服务是由多个子组件（称为“角色服务”）组成的服务器角色。在WindowsServer2008中，终端服务由下列角色服务组成：终端服务器：“终端服务器”角色服务使服务器可以托管基于Windows的程序或完整的Windows桌面。用户可以连接到终端服务器来运行程序，保存文件，以及使用该服务器上的网络资源。TSWeb访问：TerminalServicesWebAccess(TSWebAccess)使用户能够通过网站访问RemoteApp(TM)程序和到终端服务器的远程桌面连接。TSWebAccess还包括远程桌面Web连接，它使用户能够远程连接到他们具有“远程桌面”访问权限的任何计算机。TS授权：终端服务授权（TS授权）管理每个设备或用户连接到终端服务器所需的终端服务客户端访问许可证(TSCAL)。使用TS授权在终端服务许可证服务器上安装、颁发TSCAL并监视其可用性。TS网关：终端服务网关（TS网关）使经过授权的远程用户能够从可以运行远程桌面连接(RDC)客户端的任何与Internet连接的设备连接到内部企业网络上的资源。TS会话Broker：TerminalServicesSessionBroker(TSSessionBroker)支持在服务器场中的终端服务器之间进行会话负载平衡，并支持重新连接到负载平衡终端服务器场中的现有会话。什么是终端服务器？终端服务器是一种服务器，它为终端服务客户端托管基于Windows的程序或完整的Windows桌面。用户可以连接到终端服务器来运行程序，保存文件，以及使用该服务器上的网络资源。用户可以使用RDC或RemoteApp程序访问终端服务器。有关部署终端服务器的详细信息，请参阅WindowsServer2008技术库中的“清单：安装终端服务器的先决条件”(=101636)（可能为英文网页）。终端服务远程应用程序(TSRemoteApp)RemoteApp程序是通过终端服务远程访问的程序，它们的行为就好像运行在最终用户的本地计算机上一样。用户可以将RemoteApp程序与本地程序并排运行。如果用户从同一台终端服务器运行多个RemoteApp程序，RemoteApp程序将共享同一个终端服务会话。通过此功能可以节省用户会话，并且可以更快地连接到同一台服务器上的每个其他RemoteApp程序。通过使用TSRemoteAppManager，可以创建Windows安装程序包（.msi程序包）或.rdp文件，然后在整个组织中分发程序包。或者，如果希望用户通过Web访问RemoteApp程序，可以使用TSWebAccess将RemoteApp程序部署到网站上。为什么使用TSRemoteApp？在许多情况下，TSRemoteApp可以降低复杂程度并减少管理开销，包括：分支机构，其本地IT支持和网络带宽可能有限。用户必须远程访问应用程序的情况。部署行业(LOB)应用程序，尤其是自定义LOB应用程序。没有为用户分配计算机的环境，例如“公用办公桌”或“旅馆式办公”工作空间。部署某个应用程序的多个版本时，尤其是当在本地安装多个版本可能会造成冲突时。有关TSRemoteApp的详细信息，请参阅“TSRemoteApp循序渐进指南”(=84895)（可能为英文网页）。什么是TSWeb访问？通过TSWebAccess，用户可以从Web浏览器将RemoteApp程序和远程桌面连接到终端服务器。通过TSWebAccess，用户可以通过访问网站（从Internet或Intranet）访问可用RemoteApp程序的列表。在启动RemoteApp程序时，将在托管RemoteApp程序的终端服务器上启动终端服务会话。在部署TSWebAccess时，可以指定充当数据源的终端服务器，以填充网页上出现的RemoteApp程序的列表。TSWebAccess也附带有远程桌面Web连接功能。借助远程桌面Web连接，用户可以指定他们要连接的计算机，然后启动到该计算机的完整远程桌面会话。若要成功连接，用户必须在目标计算机上拥有“远程桌面”访问权限。有关TSWebAccess的详细信息，请参阅“TSRemoteApp循序渐进指南”(=84895)（可能为英文网页）。什么是TS授权？TS授权管理每个用户或设备连接到终端服务器所需的TSCAL。使用TS授权在终端服务许可证服务器上安装、颁发TSCAL并监视其可用性。若要使用终端服务，必须至少拥有一台许可证服务器。对于小型部署，可以将“终端服务器”角色服务和TS授权角色服务安装在同一台计算机上。对于较大型的部署，建议将TS授权角色服务与“终端服务器”角色服务安装在不同的计算机上。只有正确地配置了TS授权，终端服务器才能继续接受来自客户端的连接。有关TS授权的详细信息，请参阅“TS授权设置循序渐进指南”(=85873)（可能为英文网页）。什么是TS网关？TS网关使经过授权的远程用户能够从可以运行RDC客户端的任何与Internet连接的设备连接到内部企业网络或专用网络上的资源。网络资源可以是终端服务器、运行RemoteApp程序的终端服务器或者启用了“远程桌面”的计算机。TS网关将远程桌面协议(RDP)封装在RPC内以及安全套接字层(SSL)连接上的HTTP内。采用这种方式，TS网关有助于通过在Internet上的远程用户和运行其效率应用程序的内部网络资源之间建立加密的连接来提高安全性。为什么使用TS网关？TS网关可以带来下列好处：通过TS网关，远程用户能够使用加密连接通过Internet连接到内部网络资源，而不必配置虚拟专用网络(VPN)连接。TS网关提供全面的安全配置模型，使您能够控制对特定内部网络资源的访问。TS网关提供点对点的RDP连接，而不是允许远程用户访问所有内部网络资源。通过TS网关，远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序(NAT)托管的内部网络资源。在此方案中，通过TS网关，不必对TS网关服务器或客户端执行其他配置。在以前版本的WindowsServer中，通常采用安全措施来阻止远程用户通过RDP跨防火墙和NAT连接到内部网络资源。这是由于出于网络安全考虑，通常阻止端口3389（用于RDP连接的端口）。TS网关使用HTTP安全套接字层/传输层安全性(SSL/TLS)隧道将RDP通讯传输到端口443。由于大多数公司打开端口443来支持Internet连接，所以，TS网关利用此网络设计提供跨多个防火墙的远程访问连接。通过TS网关管理器可以配置授权策略，以定义远程用户要连接到内部网络资源必须满足的条件。例如，可以指定：可以连接到网络资源的用户（即，可以连接的用户组）。用户可以连接到的内部网络资源（计算机组）。客户端计算机是否必须是特定ActiveDirectory(R)安全组的成员。是否允许设备和磁盘的重定向。客户端必须使用智能卡身份验证还是密码身份验证，还是可以使用任一方法。可以将TS网关服务器和终端服务客户端配置为使用网络访问保护(NAP)来进一步提高安全性。NAP是一种创建、增强和修正健康策略的技术，包含在WindowsServer2008、WindowsVista®RTM以及beta版本的WindowsVistaServicePack1(SP1)和WindowsXPServicePack3(SP3)中。通过NAP，系统管理员可以强制实施健康状况要求，其中可以包括硬件要求、安全更新要求、所需的计算机配置以及其他设置。备注如果TS网关强制使用NAP，则运行WindowsServer2008的计算机不能用作NAP客户端。当TS网关强制使用NAP时，只能将运行WindowsVistaRTM或beta版本的WindowsVistaSP1和WindowsXPSP3的计算机用作NAP客户端。可以将TS网关服务器与MicrosoftInternetSecurityandAcceleration(ISA)Server结合使用来提高安全性。在此方案中，可以在专用网络中[而不是在外围网络中，也称为DMZ、隔离区和屏蔽子网]托管TS网关服务器，可以在外围网络中托管ISA服务器。或者，可以将ISA服务器作为外围网络的一端或两端的隔离点。在终端服务客户端和ISA服务器之间的SSL连接可以终止于连接到Internet的ISA服务器。TS网关管理器提供的工具可帮助您监视TS网关的连接状态、运行状况和事件。通过使用TS网关管理器，可以指定为了进行审核要监视的事件（例如尝试连接到TS网关服务器不成功）。有关TS网关的详细信息，请参阅“TS网关服务器设置循序渐进指南”(=85872)（可能为英文网页）。什么是TS会话Broker？TSSessionBroker在负载平衡的终端服务器场中跟踪用户会话。TSSessionBroker数据库存储会话状态信息，包括会话ID、会话关联的用户名以及每个会话所在的服务器的名称。拥有现有会话的用户连接到负载平衡服务器场中的终端服务器时，TSSessionBroker会将用户重定向到其会话所在的终端服务器。这样可以阻止用户连接到服务器场中的其他服务器并启动新会话。如果启用了TSSessionBroker负载平衡功能，TSSessionBroker还跟踪服务器场中每台终端服务器上的用户会话数，并将没有现有会话的用户重定向到会话数最少的服务器。通过此功能，可以将会话负载在负载平衡终端服务器场中的服务器之间均匀分配。有关TSSessionBroker的详细信息，请参阅“TSSessionBroker负载平衡循序渐进指南”(=92670)（可能为英文网页）。WindowsS