Windows Server 2008終端服務增強
終端服務作為微軟Windows Server中的一個重要的服務,在Windows Server 200及Windows Server 2003中被廣泛用于遠程服務器管理及應用程序的集中部署。特別是當終端服務作為應用程序服務器模式部署的時候,將有效提高企業在各種應用情境下的軟件部署能力,應對因為客戶端環境及基礎架構過于復雜而帶來的應用程序部署的挑戰。
通過部署應用程序服務器模式的終端服務器,用戶可以在有網絡連接的情況下通過遠程桌面連接(RDC)連接到終端服務器上運行應用程序,運行應用程序所需要的計算及處理都在終端服務器上實現,并通過網絡把桌面的用戶界面傳遞給用戶,而用戶也可以通過網絡傳遞鍵盤、鼠標等輸入輸出信息。通過終端服務應用程序部署,可以不考慮客戶端是否兼容該用用程序,也可以不考慮是否有足夠的資源運行該應用程序,應用程序的運行及計算都在終端服務器上進行。基于 Windows 的標準應用程序無需做任何修改便可在終端服務器上運行,而且可以使用所有標準的 Windows Server 管理基礎結構和技術來管理客戶端桌面系統。終端服務提供了在 Windows Server 上承載多個并發客戶端會話的能力,用戶可以并發的進行應用程序訪問,會話由服務器操作系統透明的進行管理,并且獨立于其它任何客戶端會話。
通過終端服務進行應用程序集中部署,可以有效地降低了應用程序的維護成本和維護難度,尤其是那些位于遠程位置的計算機或分支辦事處環境中的計算機。使用終端服務器模式向各類桌面環境交付基于 Windows 的應用程序,對于那些頻繁更新、難于安裝或者需要通過低帶寬連接進行訪問的業務應用程序來說,這是一種極具成本效益的部署手段。
然而面對日益復雜的應用環境及企業在可管理性、安全性上的要求,對終端服務的功能提出了新的要求。首先是在用戶體驗上,用戶在使用終端服務器上的應用程序的時候,必須首先使用遠程桌面連接連接到終端服務器,然后再在遠程桌面的桌面或者開始菜單上尋找應用程序的快捷方式打開應用程序,如果用戶是位于外部網絡的話就更加的繁復,需要先撥接VPN連接,然后再通過遠程桌面連接連接到終端服務器,最后才打開應用程序;其次是在訪問的安全管理上,因為安全原因很少有企業把終端服務器直接發布到外部網絡上提供給處于外部網絡的用戶訪問,更多的需要借助VPN來提供外部用戶應用程序訪問的連接,這種情況下就需要進行終端服務器的授權和VPN訪問控制,并且終端服務器原有的訪問控制機制是基于用戶的,無法根據時間群組等更加靈活的方式進行控制;還有就是應用程序訪問的配置上,用戶要切確記得各個終端服務器上各自運行什么應用程序,當新的終端服務器被部署以后,必須使用文檔或者口頭等方式告知及培訓用戶如何連接到新的終端服務器。
作為微軟集中化應用程序訪問的解決方案之一,同時也是微軟全面虛擬化戰略的重要一環,終端服務的功能在Windows Server 2008得到了極大的增強及改進。
終端服務遠程程序(TS RemoteApp)
在以往,用戶在使用終端服務器上的應用程序的時候總需要先獲得一個遠程桌面會話,然后再在遠程桌面會話上運行應用程序。而TS RemoteApp的出現可以讓用戶直接運行位于終端服務器上的應用程序,并且用戶獲得的界面也只有應用程序的界面。通過有效的部署,用戶可以甚至忽略應用程序到底運行于那臺終端服務器上,獲得運行本地應用程序一樣的用戶體驗。
當終端服務器部署了TS RemoteApp,管理員可以把TS RemoteApp保存為遠程桌面連接配置文件并分發給用戶,這些遠程桌面配置文件可以包含身份驗證信息及TS Gateway的信息,用戶只要獲得并雙擊該配置文件就可以直接運行位于遠程終端服務器上的應用程序;管理員還可以把TS RemoteApp打包為.MSI的安裝包,通過組策略部署或者SCCM部署到域中的客戶端上,在客戶端的開始菜單或者桌面生成TS RemoteApp的快捷方式,用戶通過該快捷方式或者運行與TS RemoteApp關聯的擴展名文件運行遠程應用程序。
簡單來說,TS RemoteApp改變了原來終端服務必須先獲得遠程桌面會話再運所需的應用程序的過程,直接獲得的就是應用程序的界面,簡化了用戶使用過程并改善了用戶體驗。
終端服務網關(TS Gateway)
因為安全的原因,幾乎所有的企業都不會把終端服務器發布到外部網絡,特別是Windows Server 2003終端服務連接只支持服務器身份驗證,開放外部網絡直接訪問終端服務器,無疑是一個非常危險的做法。而今天用戶的移動性卻決定了很多訪問是從外部網絡發起,TS Gateway作為一個終端服務的網關,提供外部用戶安全訪問企業內部終端服務器的功能。通過RDC-over-HTTP技術,實現外部客戶端到TS Gateway端的數據傳輸HTTPS加密,并對遠程用戶進行身份驗證及資源訪問授權控制,并可以結合NPS服務器實現網絡訪問保護。
在正確組策略或者TS RemoteApp的設置的前提下,TS Gateway對于用戶完全透明。用戶在外部網絡通過遠程桌面或者遠程應用程序發起訪問,所有的數據被轉換為HTTPS與TS Gateway進行通訊,而TS Gateway會使用RDP協議跟位于內網的終端服務器進行通訊。TS Gateway可以有效的幫助企業實現終端服務器安全的外部訪問,替換因為終端服務器外部訪問需要部署的VPN服務器,提升了外部用戶終端服務器訪問的體驗。
TS Gateway除了可以實現終端服務外部訪問控制之外,也可以實現終端服務器內部訪問的集中控制。通過TS Gateway上的CAP和RAP策略可以有效控制用戶訪問,并且實現客戶端及終端服務器隔離。
終端服務Web訪問(TS Web Access)除了保留以前版本提供的遠程桌面 Web 連接,就通過URL提供終端服務器功能的功能之外,Windows Server 2008在TS Web Access上增加了發布TS RemoteApp的能力。在TS Web Access的頁面上,用戶可
以發布本服務器或者其他終端服務器TS RemoteApp,成為一個有多個應用程序連接的Web門戶。用戶可以通過該門戶點選需要的 TS RemoteApp加載運行位于終端服務器上的應用程序。同時企業還可以將網絡訪問整合到企業的門戶站點上,這樣用戶就可以通過企業的協作平臺來訪問多種程序。
在Windows Server 2008,通過TS Gateway企業可以很方便的構建一個集中控制的終端服務訪問結構,實現外部網絡安全的終端服務訪問。在此基礎上通過實現遠程桌面會話交付,通過TS RemoteApp實現良好用戶體驗的應用程序的交付,而無疑TS Web Access為用戶訪問提供了非常方便的Web入口,構建了一個穩定而安全的集中應用程序訪問解決方案。
【編輯推薦】
