Windows Server2003終端機服務 (M )

百日維新研討會特輯 (13) Windows Server2003 終端機服務作者 : 張宏義審稿 : 劉聖路文章編號 :M050403701 出刊日期 :2005/04/01 文章簡介 : 台灣企業資訊應用日趨普及, 伴隨著全球經濟發展重心東移, 企業兩岸資訊架構的佈局也成為這幾年來企業資訊成長的重點之一在兩岸遠距資訊應用上, 分散式的資訊架構常面臨下列挑戰 : 資訊安全頻寬需求大與系統效能不佳系統缺乏擴充彈性用戶端的資訊維護成本高, 例如軟體派送前端用戶服務等基於上述挑戰集中式的資訊應用架構又再度受到各大企業的青睞現今企業多為 PC 所組成的分散式運算環境, 眾多的應用軟體隨著 PC 散佈各處, 衍生出許多管理上的盲點與困難, 例如 : 軟硬體資產管理與軟體合法授權管理軟體安裝與升級更新維護資訊安全與企業智慧財產保護的問題週期性的硬體維護與升級作業所幸, 近年來隨著 Terminal Service 技術的演進, 使得集中管理的整體應用更加成熟 2005 年 4 月份本文難易程度 : 易相關資源與開發工具 : Windows Server 2003 中文版難發行人 : 劉致宏總編 : 吳章銘主編 : 吳翠鳳社務顧問 : 邱世萍編輯顧問 : 屠立剛許俊龍職念文趙驚人林國龍唐任威劉聖路張宏義美術設計 : 魏吉芝張玲玉廖怡珍行銷企劃 : 曹雅瑩陳秀慧許克臻李苾芬發行服務 : 謝佩珊劉清滿王芳綺劉佩玟發行所 : 毅達行銷顧問服務股份有限公司客戶服務 : service@msservermag.com.tw 1 本電子刊物之所載標誌名稱分屬各該公司所有, 非經授權請勿轉載使用, 版權所有如經查證依法律追訴

第一部份 : 原理介紹 Microsoft Windows Server 2003 中的終端機伺服器提供了三個重要的優點 : 1. 快速集中的進行應用程式部署 : 終端機伺服器可以將 Windows 應用程式快速部署到企業內各種運算裝置上特別是經常要更新不常用或是難以管理的應用程式當應用程式是在終端機伺服器上而不是在各個裝置上進行管理時, 管理者可以確定使用者所執行的是最新的版本 2. 以低頻寬的方式存取資料 : 終端機伺服器在存取遠端資料時可以降低網路頻寬的使用量利用終端機伺服器在有頻寬限制的環境中像是撥接網路或共用的廣域網路連結執行應用程式時, 在遠端存取和處理大量資料方面會非常有效, 因為只有資料的畫面會被傳送, 而不是資料本身 3. 隨處使用 Windows: 終端機伺服器讓我們可以在任何裝置上包括能力有限的硬體和非 Windows 的桌面取用目前的應用程式, 來增加生產力由於終端機伺服器讓您能隨處使用 Windows, 你可以善用像 Pocket PC 這類較輕便新穎的裝置所提供的額外處理能力終端機伺服器是建立一個企業範疇以伺服器為基礎的運算平台的基礎, 而且在 Microsoft Windows Server 2003 中也有重大的改善, 以下跟各位介紹 Windows Server 2003 終端機服務的新功能.. 1. 增進的延展性 : 企業需要能隨規模成長或擴展的能力比起 Windows 2000, 終端機伺服器在每台伺服器上可以支援更多的使用者而在 Microsoft Windows Server 2003 企業版中的工作階段目錄, 則更進 2

一步支援 Microsoft 的網路負載平衡及其他協力廠商負載平衡的技術 2. 改進的管理能力 : 終端機伺服器藉由充份善用像群組原則之類的技術, 提供了絕佳的遠端管理能力完整的遠端管理能力, 可以經由具充份讀寫能力的 WMI 提供者來提供 3. 易於使用的遠端桌面連結 : 遠端桌面連結 ( 新的終端機服務用戶端 ) 是一個 RDP 5.1 的用戶端, 具有充份改進的使用者介面, 可以讓使用者儲存連結的設定輕易的在視窗和全螢幕的模式下切換並且配合對應的頻寬大幅的改變使用者遠端操作的經驗 4. 增強的遠端桌面協定 (RDP): 當利用一個 RDP 5.1 用戶端連結到終端機伺服器時, 許多本機的資源都可以在遠端執行階段中取用, 包括了用戶端檔案系統智慧卡 ( 圖 1) 音訊 ( 輸出 ) 序列連接埠印表機 ( 包括網路印表機 ) 以及剪貼簿這些可重新導向的設備, 可以讓使用者輕易的在遠端執行階段中善用他們用戶端端裝置的能力例如, 我們可以開啟檔案儲存檔案或是列印到使用者本機的 PC 上, 而不用考慮應用程式是在本機或遠端執行圖 1: 智慧卡選項注意 : 必需有啟動 Smart Card 設備才會有智慧卡的選項 5. 更好的色彩支援和螢幕解析度 : 搭配 RDP 5.1, 色彩深度的範圍可以從 256 色 (8 位元 ) 到真實色彩 (24 位元 ), 解析度範圍則可以從 640 x 480 到 1600 x 1200 例如, 一位 IT 管理人員可以利用終端機伺服器, 支援店面的資訊站顯示商品它們可以設定來顯示全彩影像, 提供最佳的產品圖片 6. Microsoft Windows Server 2003 其他增強功能 : 終端機伺服器善用許多 Microsoft Windows Server 2003 的功能, 像是軟體限制原則增強的漫遊設定檔和新的應用程式相容模式 Windows Server 2003 終端機服務, 提供以下兩大功能.. 系統管理遠端桌面 (Remote Desktop for Administration) 這個功能讓系統管理可以在遠端來管理網路與電腦, 此功能已經內含在 Windows Server 2003 內, 不需要另外安裝, 不過每一台電腦最多只允許 2 位系統管理員來連線 ( 它就是 Windows 2000 終端機伺服器中的遠端管理模式 ") 3

應用程式模式 (Application Mode) - 多人同時執行位於終端機伺服器內的應用程式在 Windows Server 2003 內安裝了終端機伺服器中的元件後, 您就可以在這台終端機伺服器內安裝應用程式, 這個應用程式可以讓網路上的多個使用者來同時執行, 而且這些使用者的電腦可以是 Windows Server 2003 Windows XP Windows 2000 Windows NT Windows ME/98/95 等 Windows Server 2003 是利用終端機模擬 (Terminal emulation) 的方式, 來讓這些使用者執行位於終端機伺服器內的應用程式使用者透過用戶端連線軟體來連接終端伺服器時, 必須輸入使用者帳戶名稱與密碼來登入, 之後他的螢幕上所顯示的就是 Windows Server 2003 的桌面, 然後就可以執行終端機伺服器內的應用程式儲存檔案使用網路資源, 就好像他是在使用這台遠端伺服器一般這些應用程式是在終端機伺服器內執行, 並不是在使用者的電腦, 使用者只是他的電腦上透過鍵盤與滑鼠來操控應用程式, 然後將從終端機伺服器所傳送來的結果顯示在其螢幕上安裝終端機伺服器後, 雖然可以供多人同時執行位於終端機伺服器內的應用程式, 但是只有 120 天的使用期限, 終端機伺服器會在 120 天後拒絕使用者來連線, 除非網路內有一台已經被啟用 (Activated) 的終端機伺服器授權伺服器 (Terminal Server License Server)", 並且取得合法的授權連線數量, 也就是說 120 天後, 使用者必須經過終端機伺服器授權伺服器 " 的授權後, 才可以連接終端機伺服器您可以利用安裝終端機伺服器授權 (Terminal Server Licensing)" 服務來架設終端機伺服器授權伺服器 " Windows Server 2003 作業系統產品提供一個用戶端授權管理系統, 稱為終端機伺服器授權 (Terminal Server Licensing) 此系統可讓終端機伺服器替連至終端機伺服器的裝置與使用者取得與管理終端機伺服器用戶端存取授權 (TS CAL) 權杖在執行 Windows Server 2003 的終端機伺服器上啟動, 工作階段的每個裝置或使用者都必須以下列某一項來授權 : 1. Windows Server 2003 終端機伺服器裝置 CAL 2. Windows Server 2003 終端機伺服器使用者 CAL 3. Windows Server 2003 終端機伺服器外部連接器授權伺服器指的是安裝終端機伺服器授權的電腦授權伺服器將會儲存已針對一群終端機伺服器所安裝的所有 TS CAL 授權權杖, 並追蹤已核發的授權權杖一台授權伺服器可同時服務許多終端機伺服器一台終端機伺服器必須可連至啟動的授權伺服器, 如此永久的授權權杖才能核發給用戶端裝置已安裝但未啟動的授權伺服器只會核發暫時的授權權杖執行 Windows Server 2003 的授權伺服器可支援下列的授權類型, 並管理與 Windows Server 2003 終端機伺服器和 Windows 2000 終端機服務相關的對應權杖, 如下所述 : Windows Server 2003 終端機伺服器裝置 CAL : 這些授權是為了連至執行 Windows Server 2003 之終端機伺服器的已知裝置而購買的 Windows Server 2003 終端機伺服器使用者 CAL : 這些授權是為了連至執行 Windows Server 2003 之終端機伺服器的已知使用者而購買的 Windows Server 2003 終端機伺服器外部連接器 : 購買這些授權的目的, 是為了允許無限個數的外部使用者 ( 例如商業合作夥伴 ) 連接至執行 Windows Server 2003 的終端機伺服器 Windows Server 2003 終端機服務 CAL : 這些授權是為了連至執行 Windows 2000 之終端機伺服器的已知裝置而購買的 Windows Server 2003 終端機服務 Internet 連接器授權 : 這些授權的購買目的, 是為了允許 200 個以 4

內的非員工同時以匿名方式透過 Internet 連接至執行 Windows 2000 的終端機伺服器 Windows 2000 內建授權 : 執行 Windows 2000 專業版或以後作業系統的用戶端在連至執行 Windows 2000 的終端機伺服器時, 系統會從內建的授權權杖集中區核發一個權杖給用戶端暫時授權 : 當執行 Windows Server 2003 的終端機伺服器要求一個 Windows Server 2003 每一裝置 TS CAL 權杖時, 或當執行 Windows 2000 的終端機伺服器要求一 Windows 2000 TS CAL 權杖時, 若授權伺服器沒有任何權杖可核發, 則會核發暫時性權杖給連接的用戶端 ( 若該用戶端裝置目前沒有權杖 ) 授權伺服器會追蹤這些權杖的核發與過期狀態這些暫時性權杖的設計目的是讓系統管理員擁有足夠的時間將授權權杖安裝在授權伺服器上其設計目的並非提供一段免費存取終端機伺服器的期間對於每份 Windows Server EULA, 使用者都需要購買授權, 方能存取終端機伺服器 EULA 並沒有任何條款可讓使用者在無適當授權下存取終端機伺服器在第一位用戶端登入後的 120 天評估期結束後, 您的終端機伺服器將停止接受未授權用戶端的連接終端機伺服器允許用戶端在沒有授權權杖下連接 120 天, 之後它就需要與授權伺服器通訊此期間稱為授權伺服器的優惠期, 此期間開始於終端機伺服器用戶端第一次連至終端機伺服器時此優惠期的設計目的, 是讓系統管理員擁有足夠的時間來部署授權伺服器而非提供一段免費存取終端機伺服器的期間對於每份 Windows Server EULA, 使用者都需要購買授權, 方能存取終端機伺服器 EULA 並沒有任何條款可讓使用者在無適當授權下存取終端機伺服器 Windows Server 2003 中的終端機伺服器可支援下列的授權模式 : 每一裝置 : 授權權杖將指定給連至特定終端機伺服器的每台裝置每一使用者 : 授權權杖將指定給連至特定終端機伺服器的每位使用者終端服務的迷思 : 迷思一 :Terminal Service 會造成網路壅塞, 效能低落事實 : 應用程式執行在伺服器上, 只有鍵盤滑鼠和顯示器資訊會傳輸於網路上且這部分的資料都經過壓縮處理, 實際上傳輸資料並不多迷思二 :Terminal Server 的配備等級要求很高事實 : 唯一需考量的是記憶體的大小第二部份 : 終端機服務實作實機操作一 : 啟動遠端桌面管理 Windows Server 2003 系統管理遠端桌面 ( 圖 2) 在 Windows Server 2003 作業系統中作遠端管理可以使用系統管理遠端桌面 ( 即早期在遠端管理模式中的終端機服務 ), 它已預設安裝在執行 Windows Server 2003 作 5 圖 2:Windows Server 2003 啟動遠端協助

業系統的電腦中啟用遠端連線後, 系統管理遠端桌面可提供管理者使用任何用戶端, 透過 LAN WAN 或撥號連線來遠端管理伺服器最多可以同時存取兩個遠端工作階段外加主控台工作階段, 而不需終端機伺服器授權 Windows XP 遠端桌面 ( 圖 3) Windows XP 遠端桌面已預設安裝, 啟用遠端連線後可提供管理者一個單機版的系統管理遠端桌面要啟用遠端桌面功能, 必須以系統管理員或系統管理員群組成員的身分登入在 Windows Server 2003 系列作業系統以及 Windows XP 中的遠端桌面預設是停用的設定電腦使用遠端桌面步驟如下 : 步驟 1 : 開啟控制台中的系統步驟 2 : 在遠端索引標籤上, 選取允許使用者遠端連線到這部電腦核取方塊圖 3:Windows XP 啟動遠端協助實機操作二 : 架設終端機伺服器請到欲扮演終端機伺服器角色的 Windows Server 2003 電腦上執行以下步驟步驟 1 : 開始控制台新增或移除程式新增 / 移除 Windows 元件勾選 Terminal Server" 步驟 2 : 出現設定警告 " 畫面時, 按是鈕, 然後按下一步鈕 ( 圖 4) 步驟 3 : 下一步步驟 4 : 選擇適當的安全等級 ( 圖 5) 後按下一步鈕步驟 5 : 出現完成 Windows 元件精靈 " 畫面時, 按完成鈕後重新開機圖 4: 安裝應用程式模式圖 5: 安全等級 6

實機操作三 : 用戶端的安裝設定與連線用戶端若要連接到終端機伺服器, 則這些電腦內必須安裝遠端桌面連線 (Remote Desktop Connection)" 軟體 Windows Server 2003 Windows XP 已經內合遠端桌面連線 ", 不需要再安裝, 然而 Windows 2000 Windows XP Windows ME/98/95 等用戶端則必須要另外安裝用戶端若要連接到終端機伺服器, 則這些電腦內必須安裝遠端桌面連線 (Remote Desktop Connection) 軟體 ( 圖 6), 安裝檔案是位於終端機伺服器內的 % systermroot%\system32\clients\tsclient\win32 資料夾內, 請先將此資料夾設為共用資料夾, 然後讓使用者來連接到此共用資料夾, 並執行其內的安裝程式 SETUP.EXE 圖 6: Remote Desktop Connection 如果您在網路上的某一台利用 Internet Information Services(IIS) 所架設的網站上, 安裝了遠端桌面網站連線 (Remote Desktop Web Connection)", 則使用者可以直接利用瀏覽器來連接終端機伺服器, 不需要透過遠端桌面連線 " ( 圖 7) 圖 7: 遠端桌面網站連線其他的作業系統請參考下述提供資源 : Linux 必須安裝 tsclient 及 rdesktop 套件, 請參考 http://www.rdesktop.org Apple MacOS/Mac OS X 必須下載 Remote Desktop Connection for Mac 請參考 http://www.microsoft.com/mac/download/misc/rdc.asp PocketPC 必須安裝 Terminal services client for PocketPC, 7

請參考 http://www.microsoft.com/mobile/pocketpc( 圖 8) 圖 8:Terminal services client for Pocket PC 實機操作四 : 賦予使用者透過終端機服務登入的權利您必須在提供終端機服務的電腦上, 啟用遠端桌面 (Remote Desktop)" 的功能, 並且將使用者帳戶加入到 Remote Desktop Users 這個群組後, 使用者才可以利用遠端桌面連線 " 來連接終端機伺服器或遠端電腦將使用者加入到 Remote Desktop Users 群組的方法, 視這台提供終端機服務的電腦內是否有安裝終端機伺器而有所不同.. 如果未安裝終端機伺服器, 只提供遠終桌面管理的功能步驟開始控制台系統點選遠端 " 標籤勾選允許使用者遠端連線到這部電腦 " ( 圖 9) 啟用遠端連線的功能之後選取遠端使用者鈕按新增鈕來將使用者加入到 Remote Desktop Users 群組 Windows XP 也支援遠端桌面的功能, 其啟用與將使用者加入到 Remote Desktop Users 群組的方法, 跟上段所介紹方法的相同圖 9:Remote Desktop User 8

如果已經安裝了終端機伺服器步驟開始控制台系統點選遠端 " 標籤勾選允許使用者遠端連線到您的電腦 " 啟用遠端連線的功能接下來, 如果此電腦是網域控制站, 請利用 Active Directory 使用者及電腦 " 將使用者加入到 Remote Desktop Users 群組內, 這個群組是位於 Builtin 容區之內 ; 如果是成員伺服器獨立伺服器, 則請利用 " 系統工具 " 本機使用者和群組, 將使用者加入到 Remote Desktop Users 群組內不過 Remote Desktop Users 還必須具備允許透過終端機服務登入 " 的權利 Windows Server 2003 成員伺服器獨立伺服器與 Windows XP 電腦內,Remote Desktop Users 預設已經具備了這個權利但是在網域控制站上 Remote Desktop Users 群組卻沒有這個權利, 因此必須另外賦予權利後, 使用者才可以來遠端連接開放此權利的途徑為.. 步驟開始系統管理工具網域控制站安全性原則安全性設定本機原則使用者權利指派雙擊 " 允許透過終端機服務登入 " 新增 Remote Desktop Users 群組 ( 圖 10) 圖 10: 透過群組原則開放 Remote Desktop User 連線權利注意 : 原則設定完成之後, 必須等此原則套用網域控制站後才有效, 系統預設是等 5 分鐘套用重新開機也會套用, 或是執行以下指令..gpupdate /target:computer /force 實機操作四 : 在終端機伺服器應用模式上安裝應用程式安裝應用程式的方法您可以利用以下兩種方法之一, 來將應用程式安裝到終端機伺服器 : 利用控制台 " 內的新增 / 移除程式 " 利用其它種方法來安裝應用程式, 但必須搭配 change user 指令 9

安裝應用程式前, 必須將終端機伺服器切換到安裝模式 ", 安裝完成後, 必須再將其切換回執行模式 " 如果您是利用控制台 " 內的新增 / 移除程式 " 來安裝應用程式的話, 系統會自動切換到安裝模式 ", 並且會在安裝完成後, 自動切回執行模式 " 如果您是利用其它的方法來安裝應用程式, 例如執行 SETUP.EXE, 則您必須手動執行 change user /install 指令將系統切換到安裝模式 " 透過 change user /install 指令將系統切換到安裝模式 " 的主要原因, 是為了確保應用程式被安裝到 %systemroot% 資料夾內 ( 例如 C:\Windows), 而不是安裝在使用者的主資料夾內 (%homepath%\windows) 內, 以便讓應用程式可供多人同時存取應用程式安裝完成後, 再透過 change user /execute 指令將系統切換到執行模式 " 後, 以後當使用者開啟此應用程式時, 與使用者有關的個人設定資料將會自動的被傳送到使用者的主資料夾 (home folder) 內每一個使用者都可以有其個人的設定值您可以利用 change user /query 指令, 來查看終端機伺服器目前是處於安裝模式 " 或執行模式 " ( 圖 11) 圖 11:Change User 指令運用應用程式相容性指令檔有很多常用的應用程式都已通過相容性測試, 他們可以在終端機伺服器內正常的執行, 但是這些應用程式在安裝完成後, 必須小部份的修正, 以減少他們對終端機伺服器效率的影響, 讓終端機伺服器能夠以最好的效率來運作 Microsoft 為部份應用程式撰寫了所謂的應用程式相容性指令檔 (Application Compatibility Scripts)", 例如 Euroda Pro 4.0 Outlook 98 等, 這些指令檔是位於終端機伺服器的 %systemroot% \Application Compatibility Scripts\Install 資料夾內您只要執行所需的指令檔, 它就會自動幫您修正相關的應用程式如果這些指令檔不符合您的需要, 您可以利用記事本 (notepad)" 自行修改之許多新的應用程式, 例如 Microsoft Office XP, 不需要修改就可以在終端機伺服器內運作順暢結論 : 建立在 Windows 2000 終端機服務上的終端機伺服器, 為組織單位提供一個更可靠更具延展性更能夠管理的伺服器運算平台終端機伺服器為應用程式部署提供了新的選擇, 它能在低頻寬上進行更有效的存取, 同時加強既有系統和新穎輕便的裝置的價值不論是否使用協力廠商附加的功能, 管理者和使用者都會讚賞終端機伺服器所提供的能力 10 關於作者張宏義 Alan Chang 現任職恆逸資訊教育訓練處資深講師及技術雜誌專欄作家專長 : 區域網路無線網路的建置與規劃 SQL Server 管理與開發關聯式資料庫分析與設計 Exchange Server 建置與規劃等等

Windows Server2003終端機服務 (M050403701)