Windows Server 2008終端服務(wù)增強(qiáng)
終端服務(wù)作為微軟Windows Server中的一個(gè)重要的服務(wù),在Windows Server 200及Windows Server 2003中被廣泛用于遠(yuǎn)程服務(wù)器管理及應(yīng)用程序的集中部署。特別是當(dāng)終端服務(wù)作為應(yīng)用程序服務(wù)器模式部署的時(shí)候,將有效提高企業(yè)在各種應(yīng)用情境下的軟件部署能力,應(yīng)對(duì)因?yàn)榭蛻?hù)端環(huán)境及基礎(chǔ)架構(gòu)過(guò)于復(fù)雜而帶來(lái)的應(yīng)用程序部署的挑戰(zhàn)。
通過(guò)部署應(yīng)用程序服務(wù)器模式的終端服務(wù)器,用戶(hù)可以在有網(wǎng)絡(luò)連接的情況下通過(guò)遠(yuǎn)程桌面連接(RDC)連接到終端服務(wù)器上運(yùn)行應(yīng)用程序,運(yùn)行應(yīng)用程序所需要的計(jì)算及處理都在終端服務(wù)器上實(shí)現(xiàn),并通過(guò)網(wǎng)絡(luò)把桌面的用戶(hù)界面?zhèn)鬟f給用戶(hù),而用戶(hù)也可以通過(guò)網(wǎng)絡(luò)傳遞鍵盤(pán)、鼠標(biāo)等輸入輸出信息。通過(guò)終端服務(wù)應(yīng)用程序部署,可以不考慮客戶(hù)端是否兼容該用用程序,也可以不考慮是否有足夠的資源運(yùn)行該應(yīng)用程序,應(yīng)用程序的運(yùn)行及計(jì)算都在終端服務(wù)器上進(jìn)行。基于 Windows 的標(biāo)準(zhǔn)應(yīng)用程序無(wú)需做任何修改便可在終端服務(wù)器上運(yùn)行,而且可以使用所有標(biāo)準(zhǔn)的 Windows Server 管理基礎(chǔ)結(jié)構(gòu)和技術(shù)來(lái)管理客戶(hù)端桌面系統(tǒng)。終端服務(wù)提供了在 Windows Server 上承載多個(gè)并發(fā)客戶(hù)端會(huì)話(huà)的能力,用戶(hù)可以并發(fā)的進(jìn)行應(yīng)用程序訪(fǎng)問(wèn),會(huì)話(huà)由服務(wù)器操作系統(tǒng)透明的進(jìn)行管理,并且獨(dú)立于其它任何客戶(hù)端會(huì)話(huà)。
通過(guò)終端服務(wù)進(jìn)行應(yīng)用程序集中部署,可以有效地降低了應(yīng)用程序的維護(hù)成本和維護(hù)難度,尤其是那些位于遠(yuǎn)程位置的計(jì)算機(jī)或分支辦事處環(huán)境中的計(jì)算機(jī)。使用終端服務(wù)器模式向各類(lèi)桌面環(huán)境交付基于 Windows 的應(yīng)用程序,對(duì)于那些頻繁更新、難于安裝或者需要通過(guò)低帶寬連接進(jìn)行訪(fǎng)問(wèn)的業(yè)務(wù)應(yīng)用程序來(lái)說(shuō),這是一種極具成本效益的部署手段。
然而面對(duì)日益復(fù)雜的應(yīng)用環(huán)境及企業(yè)在可管理性、安全性上的要求,對(duì)終端服務(wù)的功能提出了新的要求。首先是在用戶(hù)體驗(yàn)上,用戶(hù)在使用終端服務(wù)器上的應(yīng)用程序的時(shí)候,必須首先使用遠(yuǎn)程桌面連接連接到終端服務(wù)器,然后再在遠(yuǎn)程桌面的桌面或者開(kāi)始菜單上尋找應(yīng)用程序的快捷方式打開(kāi)應(yīng)用程序,如果用戶(hù)是位于外部網(wǎng)絡(luò)的話(huà)就更加的繁復(fù),需要先撥接VPN連接,然后再通過(guò)遠(yuǎn)程桌面連接連接到終端服務(wù)器,最后才打開(kāi)應(yīng)用程序;其次是在訪(fǎng)問(wèn)的安全管理上,因?yàn)榘踩蚝苌儆衅髽I(yè)把終端服務(wù)器直接發(fā)布到外部網(wǎng)絡(luò)上提供給處于外部網(wǎng)絡(luò)的用戶(hù)訪(fǎng)問(wèn),更多的需要借助VPN來(lái)提供外部用戶(hù)應(yīng)用程序訪(fǎng)問(wèn)的連接,這種情況下就需要進(jìn)行終端服務(wù)器的授權(quán)和VPN訪(fǎng)問(wèn)控制,并且終端服務(wù)器原有的訪(fǎng)問(wèn)控制機(jī)制是基于用戶(hù)的,無(wú)法根據(jù)時(shí)間群組等更加靈活的方式進(jìn)行控制;還有就是應(yīng)用程序訪(fǎng)問(wèn)的配置上,用戶(hù)要切確記得各個(gè)終端服務(wù)器上各自運(yùn)行什么應(yīng)用程序,當(dāng)新的終端服務(wù)器被部署以后,必須使用文檔或者口頭等方式告知及培訓(xùn)用戶(hù)如何連接到新的終端服務(wù)器。
作為微軟集中化應(yīng)用程序訪(fǎng)問(wèn)的解決方案之一,同時(shí)也是微軟全面虛擬化戰(zhàn)略的重要一環(huán),終端服務(wù)的功能在Windows Server 2008得到了極大的增強(qiáng)及改進(jìn)。
終端服務(wù)遠(yuǎn)程程序(TS RemoteApp)
在以往,用戶(hù)在使用終端服務(wù)器上的應(yīng)用程序的時(shí)候總需要先獲得一個(gè)遠(yuǎn)程桌面會(huì)話(huà),然后再在遠(yuǎn)程桌面會(huì)話(huà)上運(yùn)行應(yīng)用程序。而TS RemoteApp的出現(xiàn)可以讓用戶(hù)直接運(yùn)行位于終端服務(wù)器上的應(yīng)用程序,并且用戶(hù)獲得的界面也只有應(yīng)用程序的界面。通過(guò)有效的部署,用戶(hù)可以甚至忽略應(yīng)用程序到底運(yùn)行于那臺(tái)終端服務(wù)器上,獲得運(yùn)行本地應(yīng)用程序一樣的用戶(hù)體驗(yàn)。
當(dāng)終端服務(wù)器部署了TS RemoteApp,管理員可以把TS RemoteApp保存為遠(yuǎn)程桌面連接配置文件并分發(fā)給用戶(hù),這些遠(yuǎn)程桌面配置文件可以包含身份驗(yàn)證信息及TS Gateway的信息,用戶(hù)只要獲得并雙擊該配置文件就可以直接運(yùn)行位于遠(yuǎn)程終端服務(wù)器上的應(yīng)用程序;管理員還可以把TS RemoteApp打包為.MSI的安裝包,通過(guò)組策略部署或者SCCM部署到域中的客戶(hù)端上,在客戶(hù)端的開(kāi)始菜單或者桌面生成TS RemoteApp的快捷方式,用戶(hù)通過(guò)該快捷方式或者運(yùn)行與TS RemoteApp關(guān)聯(lián)的擴(kuò)展名文件運(yùn)行遠(yuǎn)程應(yīng)用程序。
簡(jiǎn)單來(lái)說(shuō),TS RemoteApp改變了原來(lái)終端服務(wù)必須先獲得遠(yuǎn)程桌面會(huì)話(huà)再運(yùn)所需的應(yīng)用程序的過(guò)程,直接獲得的就是應(yīng)用程序的界面,簡(jiǎn)化了用戶(hù)使用過(guò)程并改善了用戶(hù)體驗(yàn)。
終端服務(wù)網(wǎng)關(guān)(TS Gateway)
因?yàn)榘踩脑颍瑤缀跛械钠髽I(yè)都不會(huì)把終端服務(wù)器發(fā)布到外部網(wǎng)絡(luò),特別是Windows Server 2003終端服務(wù)連接只支持服務(wù)器身份驗(yàn)證,開(kāi)放外部網(wǎng)絡(luò)直接訪(fǎng)問(wèn)終端服務(wù)器,無(wú)疑是一個(gè)非常危險(xiǎn)的做法。而今天用戶(hù)的移動(dòng)性卻決定了很多訪(fǎng)問(wèn)是從外部網(wǎng)絡(luò)發(fā)起,TS Gateway作為一個(gè)終端服務(wù)的網(wǎng)關(guān),提供外部用戶(hù)安全訪(fǎng)問(wèn)企業(yè)內(nèi)部終端服務(wù)器的功能。通過(guò)RDC-over-HTTP技術(shù),實(shí)現(xiàn)外部客戶(hù)端到TS Gateway端的數(shù)據(jù)傳輸HTTPS加密,并對(duì)遠(yuǎn)程用戶(hù)進(jìn)行身份驗(yàn)證及資源訪(fǎng)問(wèn)授權(quán)控制,并可以結(jié)合NPS服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)。
在正確組策略或者TS RemoteApp的設(shè)置的前提下,TS Gateway對(duì)于用戶(hù)完全透明。用戶(hù)在外部網(wǎng)絡(luò)通過(guò)遠(yuǎn)程桌面或者遠(yuǎn)程應(yīng)用程序發(fā)起訪(fǎng)問(wèn),所有的數(shù)據(jù)被轉(zhuǎn)換為HTTPS與TS Gateway進(jìn)行通訊,而TS Gateway會(huì)使用RDP協(xié)議跟位于內(nèi)網(wǎng)的終端服務(wù)器進(jìn)行通訊。TS Gateway可以有效的幫助企業(yè)實(shí)現(xiàn)終端服務(wù)器安全的外部訪(fǎng)問(wèn),替換因?yàn)榻K端服務(wù)器外部訪(fǎng)問(wèn)需要部署的VPN服務(wù)器,提升了外部用戶(hù)終端服務(wù)器訪(fǎng)問(wèn)的體驗(yàn)。
TS Gateway除了可以實(shí)現(xiàn)終端服務(wù)外部訪(fǎng)問(wèn)控制之外,也可以實(shí)現(xiàn)終端服務(wù)器內(nèi)部訪(fǎng)問(wèn)的集中控制。通過(guò)TS Gateway上的CAP和RAP策略可以有效控制用戶(hù)訪(fǎng)問(wèn),并且實(shí)現(xiàn)客戶(hù)端及終端服務(wù)器隔離。
終端服務(wù)Web訪(fǎng)問(wèn)(TS Web Access)除了保留以前版本提供的遠(yuǎn)程桌面 Web 連接,就通過(guò)URL提供終端服務(wù)器功能的功能之外,Windows Server 2008在TS Web Access上增加了發(fā)布TS RemoteApp的能力。在TS Web Access的頁(yè)面上,用戶(hù)可
以發(fā)布本服務(wù)器或者其他終端服務(wù)器TS RemoteApp,成為一個(gè)有多個(gè)應(yīng)用程序連接的Web門(mén)戶(hù)。用戶(hù)可以通過(guò)該門(mén)戶(hù)點(diǎn)選需要的 TS RemoteApp加載運(yùn)行位于終端服務(wù)器上的應(yīng)用程序。同時(shí)企業(yè)還可以將網(wǎng)絡(luò)訪(fǎng)問(wèn)整合到企業(yè)的門(mén)戶(hù)站點(diǎn)上,這樣用戶(hù)就可以通過(guò)企業(yè)的協(xié)作平臺(tái)來(lái)訪(fǎng)問(wèn)多種程序。
在Windows Server 2008,通過(guò)TS Gateway企業(yè)可以很方便的構(gòu)建一個(gè)集中控制的終端服務(wù)訪(fǎng)問(wèn)結(jié)構(gòu),實(shí)現(xiàn)外部網(wǎng)絡(luò)安全的終端服務(wù)訪(fǎng)問(wèn)。在此基礎(chǔ)上通過(guò)實(shí)現(xiàn)遠(yuǎn)程桌面會(huì)話(huà)交付,通過(guò)TS RemoteApp實(shí)現(xiàn)良好用戶(hù)體驗(yàn)的應(yīng)用程序的交付,而無(wú)疑TS Web Access為用戶(hù)訪(fǎng)問(wèn)提供了非常方便的Web入口,構(gòu)建了一個(gè)穩(wěn)定而安全的集中應(yīng)用程序訪(fǎng)問(wèn)解決方案。
【編輯推薦】
