1 Remotedesktopdienste (ehem. Terminal Services)

Windows Server 2008 (R2): Anwendungsserver
1 Remotedesktopdienste (ehem. Terminal Services)
Die Remotedesktopdienste gehören zu den Desktopvirtualisierungsprodukten von Microsoft. Die
Remotedesktopdienste besteht aus einer Serverkomponente und einer Clientkomponente.
Versionen des RDP-Protokolls:
•
6.1 – als Update für Windows Vista und Windows Server 2008 verfügbar
•
7.0 – wird mit Windows 7 und Windows Server 2008 R2 mitgeliefert
•
RDP-Client für MacOS X
1.1 Neue Features
•
Terminal Services Gateway: tunnelt den RDP-Traffic in einem HTTPS-Tunnel (RPC over httpProxy)
o “Client Access Policies“ (CAP) erzwingen Client-Compliance (NAP-Integration)
o “Ressource Access Policies” (RAP) erzwingen Netzwerkeinschränkungen
o Unterstützung von SSL-Terminierung auf ISA Server
•
Terminal Services Remote Applications (Citrix: „Published Applications“)
Über GPO werden Applikationen “freigegeben”
Diese Applikationen laufen in einem eigenen Fenster mit flexibler Fenstergröße, es ist
nicht erkennbar, dass die Anwendung in einem Terminal-Fenster läuft
o Mehrere Applikationen verwenden dieselbe TS Sitzung
o Ausrollung auch auf Web Access
Terminal Services Web Access
o Anywhere Application Access
o Mehrere Applikationen verwenden dieselbe TS Sitzung
o Zentrales Deployment von Applicationen
o Anpassbares User Interface
o
o
•
EasyPrint: alle Druckertreiber werden auf die lokale Maschine umgeleitet.
„Session Directory“ heißt jetzt „Session Broker“.
RDP 6.0-Client oder höher für das Gateway nötig.
Alle weiteren Funktionalitäten benötigen mindestens den RDP 6.1 Client.
© Mag. Christian Zahler, Stand: August 2012
9
Windows Server 2008 (R2): Anwendungsplattform
1.2 Grundlagen
Unter Remoteverwaltung versteht man die Verwaltung entfernter Rechner, etwa über das Internet.
Remotedesktopdienste übertragen den Bildschirm eines entfernten Rechners, sodass so gearbeitet
werden kann, als würde man den entfernten Rechner lokal benutzen.
Marktüberblick:
•
Citrix Metaframe
•
Microsoft Windows Server Remote Desktop Services
•
Hummingbird
•
AttachMate
•
Tarantella
•
Symantec PCAnywhere
•
VNC, TightVNC (laufen plattformübergreifend sowohl unter Windows als auch Linux)
•
DameWare
Wir wollen in diesem Kapitel die Microsoft Windows Server 2008 R2 Remote Desktop Services
besprechen.
Remotedesktopdienste stellen den Remotezugriff auf einen Windows-Desktop mithilfe von "Thin
Client"-Software sicher, über die der Clientcomputer als Terminalemulator fungieren kann. Dabei wird
lediglich die Benutzeroberfläche des Programms an den Client übertragen. Der Client gibt
anschließend die vom Server zu verarbeitenden Tastatureingaben und Mausklicks zurück. Benutzer
lassen sich nach der Anmeldung lediglich die individuellen Sitzungen anzeigen, die vom
Betriebssystem des Servers transparent verwaltet und unabhängig von anderen Clientsitzungen
ausgeführt werden. Clientsoftware kann auf einer Reihe von Clienthardwaregeräten ausgeführt
werden, einschließlich PCs und Windows-Terminals. Andere Geräte, z. B. Macintosh-Computer bzw.
UNIX-Arbeitsstationen, können mithilfe zusätzlicher Software anderer Anbieter ebenfalls eine
Verbindung zu einem Server herstellen, der Remote Desktop-Server ausführt.
Remotedesktopdienste liefern die zugrunde liegende Technologie für mehrere Funktionen und
Komponenten von Betriebssystemen der Microsoft® Windows Server 2008-Produktfamilie. Darunter
befinden sich Remote Desktop-Server und Remotedesktop für Verwaltung.
Mithilfe von Remote Desktop-Server können Windows-Programme mit einem Netzwerkserver effektiv
und verlässlich verteilt werden. Mit Remote Desktop-Server können mehrere Benutzer über einen
einzigen Installationspfad auf den Desktop auf einem Server unter einem Betriebssystem der
Windows Server 2003-Produktfamilie zugreifen. Die Benutzer können Programme ausführen, Dateien
speichern und Netzwerkressourcen genauso verwenden, als befänden sie sich direkt am betreffenden
Computer.
1.3 Remotedesktop für Verwaltung
Remotedesktop für Verwaltung (früher als Remotedesktopdienste im Remoteverwaltungsmodus
bezeichnet) bietet Remotezugriff auf den Desktop eines beliebigen Computers unter einem
Betriebssystem der Windows Server 2008-Produktfamilie. So können Sie den Server – sogar einen
Server unter Microsoft® Windows 2000 – von praktisch jedem Computer im Netzwerk aus verwalten.
Wenn Sie diesen Computer jedoch zur Remoteverwaltung von Betriebssystemen der Windows
Windows Server 2008-Produktfamilie verwenden möchten, müssen Sie hierzu keinen Remote
Desktop-Server installieren. Verwenden Sie stattdessen Remotedesktop für Verwaltung (früher hieß
diese Komponente Remotedesktopdienste im Remoteverwaltungsmodus), die standardmäßig auf
Computern installiert wird, die unter einem der Betriebssysteme der Windows Windows Server 2008Produktfamilie ausgeführt werden. Nachdem Sie Remoteverbindungen aktiviert haben, können Sie mit
der Komponente Remotedesktop für Verwaltung Server remote von einem beliebigen Client aus über
ein LAN, WAN oder eine DFÜ-Verbindung verwalten. Durch die Einführung der Session 0 Isolation (ab
Windows Server 2008) kann heute nur mehr eine einzige administrative Verbindung über
Remotedesktop aufgebaut werden, ohne dass die Remote Desktop-Serverlizenzierung erforderlich ist.
10
© Mag. Christian Zahler, Stand: August 2012
Windows Server 2008 (R2): Anwendungsserver
1.4 Session 0 Isolation
Bis Windows XP/Windows Server 2003 liefen alle Dienste in derselben Sitzung wie der erste
Benutzer, der sich an der Konsole anmeldete. Diese Sitzung wird als "Session 0" bezeichnet. Über
den Schalter mstsc /console konnte man sich direkt mit dieser Konsolensitzung verbinden. Diese
Architektur ermöglichte Denial-of-Service-Attacken.
In Windows Server 2008 ist die Session 0 keine Konsolensitzung mehr, sonders steht einzig und allein
den Systemdiensten zur Verfügung. Die Konsolensitzungen beginnen bei der Sitzungs-ID 1; alle
Remote-Sitzungen verwenden Microsoft Remotedesktopdienste. Der Fernzugriff auf die
Konsolensitzung ist für Administratoren mit mstsc /admin möglich.
1.5 RDP-Clients
1.5.1 Einrichten eines Microsoft Terminal Service Client (MSTSC)
Der Terminal Service Client kann durch Aufruf von mstsc.exe oder in der StartmenüProgrammgruppe Zubehör mit dem Eintrag Remotedesktopverbindung aufgerufen werden.
© Mag. Christian Zahler, Stand: August 2012
11
Windows Server 2008 (R2): Anwendungsplattform
12
© Mag. Christian Zahler, Stand: August 2012
Windows Server 2008 (R2): Anwendungsserver
© Mag. Christian Zahler, Stand: August 2012
13
Windows Server 2008 (R2): Anwendungsplattform
14
© Mag. Christian Zahler, Stand: August 2012
Windows Server 2008 (R2): Anwendungsserver
© Mag. Christian Zahler, Stand: August 2012
15
Windows Server 2008 (R2): Anwendungsplattform
1.5.2 Remotedesktop-Webverbindung
Voraussetzung: Auf einem Server mit installierter Rolle „Internetinformationsdienste“ ist der
Rollendienst "Remotedesktop-Webverbindung" installiert.
Zugriff: http://Servername/ts
16
© Mag. Christian Zahler, Stand: August 2012
Windows Server 2008 (R2): Anwendungsserver
1.6 Betrieb eines Remotedesktop-Sitzungshostservers (früher:
Terminal-Server)
Folgende Schritte sind für den Betrieb eines "vollwertigen" Remote Desktop-Servers erforderlich:
•
Installation der Remotedesktopdienste
•
Überprüfen der erweiterten Sicherheitskonfigurationseinstellungen von Internet Explorer
•
Konfigurieren eines Remote Desktop-Server-Lizenzservers: Bei kleinen Bereitstellungen
können Remote Desktop-Server und der Remote Desktop-Server-Lizenzierungsdienst auf
demselben Computer installiert werden. Bei größeren Bereitstellungen wird jedoch empfohlen,
die Remote Desktop-Serverlizenzierung auf einem anderen Server zu installieren.
Wichtig: Dieser Schritt muss ausgeführt werden. Wenn Sie Remote Desktop-Serverlizenzierung nicht installieren, würde der Remote Desktop-Server Verbindungen von nicht
lizenzierten Clients ablehnen, nachdem der Evaluierungszeitrahmen von 120 Tagen nach
Anmeldung des ersten Clients abgelaufen ist.
•
Installieren von Clientzugriffslizenzen (Client Access Licenses, CALs) auf dem Remote
Desktop-Server-Lizenzserver.
•
Installieren von Programmen auf dem Remote Desktop-Server.
•
Bereitstellen der neuesten Version von Remotedesktopverbindung für Clients, die frühere
Versionen von Remotedesktopverbindung für Windows verwenden.
•
Angeben der Benutzer, die Berechtigung zum Aufbau einer Verbindung zum Remote
Desktop-Server haben.
1.6.1 Checkliste vor der Installation der Remotedesktopdienste
Vor der Konfiguration des Computers als Remote Desktop-Server sollten Sie folgende Punkte
überprüfen:
•
Das Betriebssystem ist ordnungsgemäß konfiguriert. In der Windows Windows Server 2008Produktfamilie ist ein Remote Desktop-Server von der entsprechenden Konfiguration des
Betriebssystems und seiner Dienste abhängig. Wenn Sie eine neue Installation eines
Betriebssystems der Windows Windows Server 2008-Produktfamilie verwenden, können Sie
die Standarddiensteinstellungen verwenden.
•
Der Computer ist ein Server in einem Netzwerk oder in einer Domäne, es handelt sich jedoch
nicht um einen Domänencontroller. Das Installieren von Remote Desktop-Server auf einem
Domänencontroller kann die Leistung beeinträchtigen, da für die Aufgaben eines
Domänencontrollers in einer Domäne mehr Arbeitsspeicher, Netzwerkverkehr und
Prozessorzeit erforderlich sind.
•
Der Computer erfüllt die Prozessor- und Speicherplatzanforderungen zur Unterstützung
mehrerer gleichzeitiger Sitzungen, bei denen unterschiedliche Benutzer angemeldet sind. Ein
Remote Desktop-Server benötigt mindestens 128 MB RAM sowie zusätzlichen
Arbeitsspeicher für jeden Benutzer, dessen Programme auf dem Server ausgeführt werden
sollen. Für jeden gewöhnlichen Benutzer, der in der Regel nur ein Programm ausführt, werden
zusätzlich 10 MB RAM empfohlen. Und für Hauptbenutzer, die in der Regel drei oder mehr
Programme gleichzeitig ausführen, werden bis zu 21 MB RAM empfohlen. Wenn Sie 16-BitAnwendungen auf dem Remote Desktop-Server installieren möchten, sollten Sie zudem
beachten, dass diese Anwendungen zusätzliche Ressourcen benötigen, wenn sie in 32-BitUmgebungen, wie z. B. unter Betriebssystemen der Windows Server 2008-Produktfamilie
ausgeführt werden.
•
Auf dem Computer sind keine Programme installiert. Sie sollten die Remote DesktopServerfunktion hinzufügen, bevor Sie die Programme für die Benutzer installieren. Falls auf
dem Computer bereits Programme installiert sind, ist es möglicherweise erforderlich, diese
Programme erneut zu installieren, um sicherzustellen, dass diese ordnungsgemäß in der
Remote Desktop-Serverumgebung ausgeführt werden.
© Mag. Christian Zahler, Stand: August 2012
17
Windows Server 2008 (R2): Anwendungsplattform
•
Eine Remoteanmeldung am Computer ist für keinen Benutzer möglich. Sie sollten Benutzern
erst dann den Zugriff auf den Remote Desktop-Server erteilen, wenn Sie die Programme
installiert, ihre Installation getestet und eine Optimierung durchgeführt haben, die erforderlich
ist, wenn die Programme in einer Multisessionumgebung funktionsfähig sein sollen.
•
Alle vorhandenen Datenträgervolumes verwenden das NTFS-Dateisystem. FAT32-Volumes
bieten weder die erforderliche Sicherheit für Benutzer in einer Multisessionumgebung noch die
Möglichkeit, Dateiberechtigungen festzulegen.
1.6.2 Installation der Remotedesktopdienste
Fügen Sie die Rolle „Remotedesktopdienste“ im Server-Manager hinzu:
18
© Mag. Christian Zahler, Stand: August 2012