Windows Terminal Services в Windows Server 2003 - что нового?
Windows Server 2003 является исключительно серверной платформой. Существует несколько ее версий, ориентированных на разные требования функциональности и масштабирования. Для сектора малого бизнеса предназначена Windows Server 2003 Standard Edition. Windows 2003 Enterprise Edition с ее улучшенными расширениями для кластеров нацелена на использование в серверах масштаба предприятия. Datacenter Edition отвечает всем требованиям масштабируемости и надежности ответственных приложений. Эти три версии эквивалентны серверным версиям Windows 2000 (Standard, Advanced, и DataCenter). Кроме них добавлена еще одна – Web Edition, предназначенная для веб-серверов и хостинга.
Терминальные службы – возможность одновременного выполнения нескольких интерактивных сессий на сервере – стали неотъемлемой частью операционной системы, начиная с выпуска Windows 2000 server (благодаря многопользовательскому ядру), и, конечно, доступны и во всех четырех версиях Windows Server 2003 server. В то время как все версии поддерживают запуск удаленного рабочего стола для администрирования (в Windows 2000 это называлось административным режимом), полный терминальный сервер (ранее известный под названием режим сервера приложений) требует Standard, Enterprise или Datacenter Edition.
Windows Server 2003 содержит новую версию 5.2 протокола удаленного рабочего стола (Remote Desktop Protocol), который определяет возможности терминальной сессии. Среди наиболее важных возможностей следующие:
— автоматическое переопределение локальных и сетевых дисков клиента (в прошлых версиях это надо было делать вручную);
— автоматическое перенаправление аудио;
— автоматическое определение временных зон клиентов, которое осуществляет проверку размещения клиента, а не сервера;
— автоматическое перенаправление клиентских принтеров, локальных и сетевых, включая принтер по умолчанию (Windows 2000 поддерживала перенаправление только локального принтера);
— автоматическое перенаправление параллельных и последовательных портов;
— автоматическое восстановление разорванных сессий (особенно полезно при использовании радио-подключений);
— поддержка 24-битного цвета;
— поддержка стандартных горячих клавиш Windows в полноэкранном режиме;
— поддержка динамического использования пропускной способности (часть QoS);
— поддержка высокого (128-битного, двунаправленного) и низкого (40-бит, однонаправленного – только от клиента к серверу) уровней шифрования;
— поддержка аутентификации с помощью смарт-карт;
— прямая консольная сессия.
Последнюю возможность необходимо рассмотреть подробнее. В предыдущих версиях Windows server (Windows 2000 и Windows NT 4.0 Terminal Server Edition) можно было запускать удаленные сессии, но они всегда были отделены от консольной сессии. Удаленные сессии вполне функциональны для решения большинства пользовательских задач, однако существовало довольно много важных исключений, таких как установка программ, перечисленных в статье Q247930 Microsoft Knowledge Base или установка сервисных пакетов до Windows 2000 SP3 (статья Q215465). Возможность запуска консольной RDP-сессии устраняет проблемы такого рода.
Следует отметить, что консольное подключение работает также как и подключение XP Remote Desktop. Если в это время запущена другая консольная сессия, она будет прервана, так как одновременно может работать только одна консольная сессия. По этой же причине консольная сессия RDP не может контролироваться с физической консоли, так как консольный экран на физическом устройстве будет закрыт после установления RDP сессии.
Запомните также, что все описанные возможности требуют RDP версии 5.1 (представленной в Windows XP) или выше со стороны клиента и 5.2 (представленной в Windows 2003 server) на серверной стороне.
Другим изменением, внесенным в терминальные службы, является способ установления разрешений на запуск сессий удаленного рабочего стола. В предыдущих версиях Windows разрешение на подключение к терминальному серверу (в режиме сервера приложений) давалось всем, кому разрешалось входить в систему локально (в административном режиме право использования сессии терминальных служб было по умолчанию ограничено членами локальной группы администраторов). В системах Windows Server 2003 имеется встроенная группа, называемая Remote Desktop Users. Для того чтобы разрешить пользователю/ям глобальной/универсальной группы доступ к терминальному серверу, необходимо всего лишь добавить акаунт пользователя или группы пользователей к этой группе.
Microsoft значительно улучшила управляемость терминальных служб. Добавлены следующие новые возможности:
— новые настройки групповой политики специально для терминальных служб;
— поставщик услуг WMI для терминальных служб, позволяющий конфигурировать терминальные службы с помощью сценариев;
— поставщик услуг ADSI для специальных настроек пользовательских акаунтов терминальных служб (например, разрешения Remote Assistance, домашняя директория и директория профайла, настройки перенаправления ресурсов и т.д.);
— возможность указать индивидуальный сервер в менеджере терминальных служб; в предыдущих версиях Windows нужно было ждать перечисления всех терминальных серверов в домене;
— управление драйвером принтера между клиентом и сервером позволяет уточнить совпадения. Если совпадение не найдено, то администратор может задать доверенный путь к драйверу для использования его при поиске других драйверов принтера, разрешенных на терминальном сервере;
— политика одиночной сессии позволяет ограничить доступ пользователей к терминальным серверам до одной сессии.
Что касается масштабируемости, то тут Microsoft представляет поддержку Session Directory. Она упрощает управление кластерами Терминал-серверов c балансировкой нагрузки.
Session Directory, работающая в качестве сервиса на Windows Server 2003 Enterprise или Datacenter (типичном члене кластера), отслеживает существующие сессии и если одна из них отключается, то она убеждается в том, что эта сессия при переподключении попадет на тот сервер, на котором оригинальная сессия все еще запущена. В предыдущих версиях Windows могло случиться так, что при переподключении создалась бы новая сессия на другом сервере.
Напоследок отметим также значительные изменения в механизме лицензирования терминальных служб:
— Возможно ограничить терминальные серверы, которые могут получать лицензии доступа клиентов для клиентов, подключающихся к ним. Это реализуется добавлением акаунтов компьютеров этих серверов к локальной группе, называемой Terminal Services Licensing, существующей на сервере лицензирования терминальных служб (сервер, на котором установлен компонент лицензирования терминальных служб).
— вдобавок к ранее существовавшим лицензиям на доступ для клиентских устройств появились также лицензии на клиентский доступ пользователей;
— лицензирование внешнего подключения замещает лицензирование Интернет-подключения, доступного в Windows 2000;
— удалено обеспечение эквивалентности ОС.
Последний пункт требует дополнительных пояснений. В предыдущих версиях терминальных служб Windows, лицензии на клиентский доступ не требовались, если на клиентском устройстве использовалась такая же или более новая версия ОС, чем на сервере. Это означало, что если вы подключались к терминальным серверам Windows 2000 или к Windows NT 4.0 с Windows 2000 или XP, то вам не нужно было покупать лицензии на клиентский доступ к терминальному серверу. Начиная с момента выпуска серверной платформы Windows 2003 server (24 апреля 2003), все свежекупленные клиентские устройства (независимо от ОС) будут требовать отдельной лицензии на клиентский доступ к терминальным серверам для подключения к Windows 2003 Terminal Server.
Также следует отметить, что новые лицензионные требования не относятся ко всем приобретенным до 24 апреля Windows XP. Компании, подписавшие с Microsoft соглашения по программе Software Assurance также не подпадают под действие этого правила.
Терминальные службы – возможность одновременного выполнения нескольких интерактивных сессий на сервере – стали неотъемлемой частью операционной системы, начиная с выпуска Windows 2000 server (благодаря многопользовательскому ядру), и, конечно, доступны и во всех четырех версиях Windows Server 2003 server. В то время как все версии поддерживают запуск удаленного рабочего стола для администрирования (в Windows 2000 это называлось административным режимом), полный терминальный сервер (ранее известный под названием режим сервера приложений) требует Standard, Enterprise или Datacenter Edition.
Windows Server 2003 содержит новую версию 5.2 протокола удаленного рабочего стола (Remote Desktop Protocol), который определяет возможности терминальной сессии. Среди наиболее важных возможностей следующие:
— автоматическое переопределение локальных и сетевых дисков клиента (в прошлых версиях это надо было делать вручную);
— автоматическое перенаправление аудио;
— автоматическое определение временных зон клиентов, которое осуществляет проверку размещения клиента, а не сервера;
— автоматическое перенаправление клиентских принтеров, локальных и сетевых, включая принтер по умолчанию (Windows 2000 поддерживала перенаправление только локального принтера);
— автоматическое перенаправление параллельных и последовательных портов;
— автоматическое восстановление разорванных сессий (особенно полезно при использовании радио-подключений);
— поддержка 24-битного цвета;
— поддержка стандартных горячих клавиш Windows в полноэкранном режиме;
— поддержка динамического использования пропускной способности (часть QoS);
— поддержка высокого (128-битного, двунаправленного) и низкого (40-бит, однонаправленного – только от клиента к серверу) уровней шифрования;
— поддержка аутентификации с помощью смарт-карт;
— прямая консольная сессия.
Последнюю возможность необходимо рассмотреть подробнее. В предыдущих версиях Windows server (Windows 2000 и Windows NT 4.0 Terminal Server Edition) можно было запускать удаленные сессии, но они всегда были отделены от консольной сессии. Удаленные сессии вполне функциональны для решения большинства пользовательских задач, однако существовало довольно много важных исключений, таких как установка программ, перечисленных в статье Q247930 Microsoft Knowledge Base или установка сервисных пакетов до Windows 2000 SP3 (статья Q215465). Возможность запуска консольной RDP-сессии устраняет проблемы такого рода.
Следует отметить, что консольное подключение работает также как и подключение XP Remote Desktop. Если в это время запущена другая консольная сессия, она будет прервана, так как одновременно может работать только одна консольная сессия. По этой же причине консольная сессия RDP не может контролироваться с физической консоли, так как консольный экран на физическом устройстве будет закрыт после установления RDP сессии.
Запомните также, что все описанные возможности требуют RDP версии 5.1 (представленной в Windows XP) или выше со стороны клиента и 5.2 (представленной в Windows 2003 server) на серверной стороне.
Другим изменением, внесенным в терминальные службы, является способ установления разрешений на запуск сессий удаленного рабочего стола. В предыдущих версиях Windows разрешение на подключение к терминальному серверу (в режиме сервера приложений) давалось всем, кому разрешалось входить в систему локально (в административном режиме право использования сессии терминальных служб было по умолчанию ограничено членами локальной группы администраторов). В системах Windows Server 2003 имеется встроенная группа, называемая Remote Desktop Users. Для того чтобы разрешить пользователю/ям глобальной/универсальной группы доступ к терминальному серверу, необходимо всего лишь добавить акаунт пользователя или группы пользователей к этой группе.
Microsoft значительно улучшила управляемость терминальных служб. Добавлены следующие новые возможности:
— новые настройки групповой политики специально для терминальных служб;
— поставщик услуг WMI для терминальных служб, позволяющий конфигурировать терминальные службы с помощью сценариев;
— поставщик услуг ADSI для специальных настроек пользовательских акаунтов терминальных служб (например, разрешения Remote Assistance, домашняя директория и директория профайла, настройки перенаправления ресурсов и т.д.);
— возможность указать индивидуальный сервер в менеджере терминальных служб; в предыдущих версиях Windows нужно было ждать перечисления всех терминальных серверов в домене;
— управление драйвером принтера между клиентом и сервером позволяет уточнить совпадения. Если совпадение не найдено, то администратор может задать доверенный путь к драйверу для использования его при поиске других драйверов принтера, разрешенных на терминальном сервере;
— политика одиночной сессии позволяет ограничить доступ пользователей к терминальным серверам до одной сессии.
Что касается масштабируемости, то тут Microsoft представляет поддержку Session Directory. Она упрощает управление кластерами Терминал-серверов c балансировкой нагрузки.
Session Directory, работающая в качестве сервиса на Windows Server 2003 Enterprise или Datacenter (типичном члене кластера), отслеживает существующие сессии и если одна из них отключается, то она убеждается в том, что эта сессия при переподключении попадет на тот сервер, на котором оригинальная сессия все еще запущена. В предыдущих версиях Windows могло случиться так, что при переподключении создалась бы новая сессия на другом сервере.
Напоследок отметим также значительные изменения в механизме лицензирования терминальных служб:
— Возможно ограничить терминальные серверы, которые могут получать лицензии доступа клиентов для клиентов, подключающихся к ним. Это реализуется добавлением акаунтов компьютеров этих серверов к локальной группе, называемой Terminal Services Licensing, существующей на сервере лицензирования терминальных служб (сервер, на котором установлен компонент лицензирования терминальных служб).
— вдобавок к ранее существовавшим лицензиям на доступ для клиентских устройств появились также лицензии на клиентский доступ пользователей;
— лицензирование внешнего подключения замещает лицензирование Интернет-подключения, доступного в Windows 2000;
— удалено обеспечение эквивалентности ОС.
Последний пункт требует дополнительных пояснений. В предыдущих версиях терминальных служб Windows, лицензии на клиентский доступ не требовались, если на клиентском устройстве использовалась такая же или более новая версия ОС, чем на сервере. Это означало, что если вы подключались к терминальным серверам Windows 2000 или к Windows NT 4.0 с Windows 2000 или XP, то вам не нужно было покупать лицензии на клиентский доступ к терминальному серверу. Начиная с момента выпуска серверной платформы Windows 2003 server (24 апреля 2003), все свежекупленные клиентские устройства (независимо от ОС) будут требовать отдельной лицензии на клиентский доступ к терминальным серверам для подключения к Windows 2003 Terminal Server.
Также следует отметить, что новые лицензионные требования не относятся ко всем приобретенным до 24 апреля Windows XP. Компании, подписавшие с Microsoft соглашения по программе Software Assurance также не подпадают под действие этого правила.
Мартин Полихт, перевод Дмитрия Герусса.
Сетевые решения. Статья была опубликована в номере 06 за 2003 год в рубрике software