Windows Server 2008終端機服務管理秘訣TOP10 簡化過去用戶端連線存取的繁複程序 | |||||||||||||||||||||||||
|
|||||||||||||||||||||||||
文.顧武雄 | |||||||||||||||||||||||||
全新設計的終端機服務是Windows Server 2008的一大特色,它不僅大幅簡化了用戶端連線存取的作業程序,相較於以往,更降低了企業IT許多管理上的負擔。 | |||||||||||||||||||||||||
打從Windows 2000 Server的版本開始,內建終端機服務功能在企業IT的應用中就已經相當普遍,只不過當時的版本在效能運作與管理設計上並不理想,以至於多半只被系統管理員用於遠端的伺服器管理,至於實際用戶端的連線使用,則多半整合其他協力廠商的產品。
直到Windows Server 2003開始,由於終端機服務的整體運作效能大幅度改善,在企業用戶端的實務應用才開始被大幅地推廣。 而新上市的Windows Server 2008同樣也內建終端機服務角色,不僅在效能設計方面更加理想,對於近端與遠端使用者的連線存取要求,更提供了完善的存取機制與絕佳的遠端安全存取控管機制。 Windows Server 2008中Terminal Services所提供的RemoteApp功能,是筆者認為在此次終端機服務全面改版設計中對用戶端最貼心的一項新功能,因為舊版的Windows Server必須整合其他協力廠商的產品才能執行,而這項功能的管理與使用,將使得用戶端在執行終端機服務主機上的應用程式時,就如同執行本機的應用程 式,對於管理員來說,從安裝到用戶端的部署也會變得更加容易。 至於內建的新終端機服務閘道(TS閘道)伺服器,則能夠讓授權使用者在具備網際網路連線能力之下,將外部電腦輕易連接到公司網路的TS閘道,然後再藉由此 TS閘道自動轉向到所欲連線的終端機伺服器,或是已開放遠端桌面連線的電腦。TS閘道會使用遠端桌面通訊協定(RDP)配合HTTPS協助建立更安全的加 密連線,稱之為RDP over HTTPs。 TOP1讓Windows Server 2008接受遠端桌面管理 Q:請問在不想安裝終端機服務伺服器角色的情況下,可以讓Windows Server 2008伺服器接受系統管理員進行遠端桌面的連線管理嗎?可否說明一下相關的設定步驟? A:用戶端的Windows XP、Windows Vista作業系統內都提供了一項遠端桌面的連線功能,方便使用者從遠端連線到自己的電腦進行各種操作,所以這一項必備的功能在Windows Server 2008中也找得到,只是在系統預設狀態下並未啟用。 想要在Windows Server 2008中啟用遠端桌面的連線功能,先在〔開始〕功能表的【電腦】項目上按下滑鼠右鍵,然後點選快速選單中的【內容】。接著會開啟「系統資訊」視窗,請點 選工作頁面內的「遠端設定」連結。開啟系統內容頁面之後,首先會進入〔電腦名稱〕活頁標籤,在「電腦描述」欄位中輸入此伺服器的用途說明。接下來,如下圖 所示切換到〔遠端〕活頁標籤中,可以發現在遠端桌面設定方框內,設定為「不允許連線到此電腦」。
最後,如果在此伺服器上已啟用了內建的Windows防火牆,那麼還必須再設定本機的Windows防火牆組態,才能夠讓遠端電腦的使用者連線到遠端桌面 服務。先到「控制台」中點選〔Windows防火牆〕圖示,然後在新畫面中點選「變更設定」連結,接著切換到「例外」頁面內,並在例外清單中確認是否已經 勾選「遠端桌面」選項,確認勾選後按下〔確定〕按鈕即可完成設定。 TOP2在Windows Server 2008安裝終端機服務角色 Q:我想要在公司現有的Active Directory網路環境內建置一部以Windows Server 2008為主的終端機服務主機,讓用戶端存取某些應用程式,請問該如何安裝及設定? A:先依序點選「開始」→「系統管理工具」→「伺服器管理員」,然後點選「角色」節點頁面中的「新增角色」連結,進入「伺服器角色」頁面。接著勾選「終端機服務」項目,並按下〔下一步〕按鈕。 隨後切換至「選取角色服務」頁面內,請依照實際的需求來勾選安裝終端機服務角色的細部元件,下圖範例可以將「終端機伺服器」、「TS授權」和「TS Web存取」三個元件安裝在同一部主機內。設定之後,按下〔下一步〕按鈕。
接著,在「驗證方法」頁面內能夠選擇的項目有「需要網路層級驗證」與「不需要網路層級驗證」。在「授權模式」頁面內,如果目前仍在試用版階段可以選擇「稍 後再設定」,相反地,如果已經購買相關的終端機服的用戶端連線授權(CAL),則依照所購買的授權類型直接選取「每一裝置」或「每個使用者」授權模式來設 定,在此選擇「稍後再設定」即可。 在「使用者群組」頁面內按下〔新增〕按鈕,加入允許終端機連線登入的群組,而這些群組都會加入到系統預設的「Remote Desktop Users」群組內。在預設的狀態下,只有本機的「Administrators」群組會被加入。後續也可以自行在「Active Directory使用者與電腦」頁面中管理「Remote Desktop Users」群組中的成員。 在「TS授權設定」頁面內,必須設定終端機服務授權主機的探索領域,一般選取「這個網域」即可,除非將終端機服務授權主機安裝在相同樹系但不同網域時,才須要選取「樹系」這個選項。最後,可能會出現要求重新開機的警告訊息。 TOP3讓使用者以IE連線存取終端機服務的網站 Q:對於連線終端機服務,除了常用的遠端桌面連線或RemoteApp的存取方式之外,我希望對於遠端外部的使用者連線,能夠讓他們透過IE瀏覽器來直接連線存取,因此想請問使用者如何才能進行連線呢?有那些事項須要特別留意呢? A:終端機服務用戶端的使用者,除了可以採用內建的遠端桌面連線或RemoteApp的部署方式來連線存取之外,還可以透過IE 7瀏覽器來直接存取。不過,前提是必須使用Windows XP Service Pack 3,如果採用Windows Vista作業系統,則還需要Service Pack 1。 對系統管理員來說,在TS Web設定管理上可以從系統管理工具來開啟設定介面,而一般終端機用戶端的授權使用者,則只要輸入該伺服器的網址即可進行連線,例如 「https://server/ts」,如下圖所示。開啟頁面之後,如果想要連線到特定的終端機服務的主機,或是已開放遠端桌面連線的電腦,可以點選進 入「Remote Desktop」頁面來進行相關連線位址與其他附屬的細部設定。
TOP4在終端機服務主機上安裝所要共用的應用程式 Q:我目前已經在公司內部網路中建置了一部Windows Server 2008終端機服務角色,希望可以將公司許多共用的應用程式安裝在這部主機上讓每一位使用者使用,不知道正確的做法為何?是否有哪些事項須要特別留意? A:在網域內建置好Windows Server 2008的終端機服務角色之後,接著便可以陸續安裝所有要讓終端機服務用戶端使用者存取的應用程式。不過,在安裝非微軟的應用程式之前,務必先跟原廠確認 與Windows Server 2008終端機服務的相容性再動手比較妥當。 想要在Windows Server 2008終端機服務主機上安裝共用的應用程式,先開啟「控制台」,之後點選「在終端機伺服器安裝應用程式」。接著會開啟TS安裝模式精靈介面,若要進一步了解,可以點選「什麼是TS安裝模式」連結開啟內容說明視窗。 如下圖所示,在接下來的頁面中按下〔瀏覽〕按鈕,然後選取所要安裝的應用程式的安裝執行檔。而在隨後的頁面中,〔上一步〕與〔完成〕按鈕將會呈現在無法點 選的狀態,這表示目前所指定的應用程式正在安裝中。在未完成安裝之前,請勿按下〔取消〕按鈕或是重新開機。成功安裝應用程式之後,頁面內的〔完成〕按鈕將 會恢復允許點選的狀態。
Q:看過Windows Server 2008中Terminal Services的RemoteApp功能介紹之後,發現這是終端機服務全面改版中,對用戶端最為貼心的一項新功能,因為舊版的Windows Server都必須整合其他協力廠商的產品。可否說明一下這項功能的管理方法? A:安裝好所要的應用程式之後,緊接著從「系統管理工具」→「終端機服務」下拉選單中開啟如下圖所示的TS RempteApp管理員介面。然後在「動作」窗格內點選「新增RempteApp」連結,將之前安裝好的應用程式一一加入RempteApp程式的清單中。
完成設定之後,在RemoteApp程式清單中,還可以針對個別的應用程式,透過「動作」窗格來啟用或停用RemoteApp程式在TS Web網頁中的顯示與否。接下來,便可以選用個別或批次多選的方式,點選「動作」窗格中的「建立Windows Installer檔案」連結來產生相關的安裝程式。 在「指定封裝設定」頁面中按下〔瀏覽〕按鈕,點選儲存這些RemoteApp程式的封裝儲存路徑,接著依照實際的需求按下〔變更〕按鈕,修改是否需要伺服器驗證、使用的通訊埠、TS閘道設定和憑證設定等等。 在「設定發行版本封裝」頁面中,可以設定當部署至用戶端電腦時,捷徑圖示所要存放的路徑(桌面與「開始」功能表資料夾)。其中,可以自行定義「開始」功能 表的資料夾名稱。此外,還可以依照實際應用程式部署的需求,決定是否勾選「將此程式的用戶端延伸模組與RemoteApp程式關聯」。對於系統管理員來 說,將RemoteApp封裝程式部署至大量的用戶端電腦上,最快速最簡單的方法就是透過Active Directory的群組原則來完成。 TOP6從遠端檢視/控制終端機使用者連線操作畫面 Q:在一般的狀況下,伺服器多半允許多人同時連線來存取其中預先安裝好的應用系統,然而也因為如此,連線中的使用者在應用程式操作的過程中可能會遭遇一些問題而需要IT人員協助處理,如果IT人員無法立刻親自前往用戶端電腦面前協助時,該怎麼辦呢? A:這時候就可以善用Windows Server 2008在終端機服務中所提供的遠端控制功能,來遠端協助使用者在登入終端機服務後的各項操作上的問題。使用遠端控制功能時,必須先開啟「Active Directory使用者和電腦」介面,確認這些使用者的帳戶屬性是否已經勾選「啟用遠端控制」功能。 如下圖所示,在使用者內容的〔遠端控制〕活頁標籤內可以發現,在預設狀態下這項功能是勾選的,並且「控制等級」部分設定為「與工作階段互動」,代表系統管 理員可以與這位使用者共同操作目前終端機服務上的工作階段。相對地,如果設定成「檢視使用者工作階段」,系統管理員便只能夠檢視這位使用者目前在終端機服 務工作階段上的操作情形。
執行之後會出現快速鍵設定視窗,在決定按下何種按鍵組合之後,可以立即切換回到自己原來的終端機服務桌面。至於將受遠端控制的使用者工作階段,將會立即出現「遠端控制要求」的確認對話框,按下〔是〕按鈕之後就可以完成遠端控制的需求。 TOP7終端機服務伺服器組態的進階設定 Q:安裝終端機服務伺服器之後,往後維護時如果想變更一些細部的組態設定值,該如何進行呢?可否詳細講解其中每一項設定用途? A:從所要管理的終端機服務的伺服器上,點選開啟「系統管理工具」下拉選單中的「終端機服務設定」介面,開啟之後在預設的「RDP-TCP」項目上按下滑鼠右鍵,然後點選快速選單中的【內容】。 首先,如下頁圖所示在〔一般〕活頁標籤內可以設定安全性階層和加密層級的類型,如果僅允許最新版本的遠端桌面連線6.0(如Windows Vista內的預設版本),便可以勾選「僅允許含有網路層級驗證的電腦執行遠端桌面進行連線」設定。此外,如果採用最高安全的SSL連線機制,憑證部分則 必須特別選取。
若切換至〔環境〕活頁標籤內,則可以設定使用者連線登入此終端機服務時的初始程式。一般都是透過Active Directory的使用者個別設定來完成,除非想統一設定所有使用者的連線,才須要到這裡設定。而〔遠端控制〕活頁標籤內,可以強制所有連線的工作階段 採用一致性的設定,或是直接設定為不允許遠端控制的功能。如果要強制統一設定遠端控制的控制等級,則在選取「以下列設定使用遠端控制」項目之後進行設定即 可。 在〔用戶端設定值〕活頁標籤內,可以強制設定所有用戶端連線時的色彩深度,以及停用特定的一些重新導向的功能。至於〔網路介面卡〕活頁標籤內,可以針對本 機的所有網路介面卡,強制設定連線數目的上限值。最後的〔安全性〕活頁標籤中,則可以設定不同使用者與群組連線終端機服務的權限,其中包括預設的 「Remote Desktop Users」群組。 TOP8建置Windows Server 2008的終端機服務閘道主機 Q:我想要運用Windows Server 2008所提供的終端機服務閘道功能,讓出門在外的同仁可以輕易地連線存取他們自己的電腦或伺服器資源,請問該如何完成這一部分的建置安裝呢? A:由於網路安全性規劃上的考量,一般都會將TS閘道的伺服器獨立安裝在防火牆的DMZ網路區段內,並且讓它可以通過TCP 3389通訊埠的連線方式來轉接到內部的終端機伺服器。 先從依序點選「開始」→「系統管理工具」下拉選單中的【伺服器管理員】來點選新增角色。接著會來到「伺服器角色」頁面,在此勾選「終端機服務」項目。最後,如下頁圖示在「角色服務」頁面中只勾選「TS閘道」這個項目。 由於TS閘道伺服器角色,採用了RDP over HTTPs技術來轉送終端機服務的連線,因此勾選這個角色時,將會出現「新增角色精靈」。其中,用戶端憑證對應驗證和RPC over HTTP Proxy是兩項關鍵的重要元件,請點選「新增所需的角色服務」。
遠端電腦如果想要透過TS閘道來連線企業內部的終端機服務伺服器,除了需要知道閘道的位址之外,還必須通過連線授權原則(TS CAP)與資源授權原則(TS RAP)的檢驗,才能夠連線存取。因此必須在「為TS閘道建立授權原則」頁面內設定是否要立即進行這兩部分的相關授權原則。安裝好TS閘道伺服器之後,就 可以從「系統管理工具」→「終端機服務」下拉選單中開啟TS閘道管理員介面。 TOP9用戶端連線終端機閘道主機與各種疑難排解 Q:請問完成建置終端機服務閘道主機之後,遠端使用者連線時,除了使用遠端桌面6.0版本之外,又該如何設定連線組態?而在連線過程中是否會遭遇哪些問題,可否在此說明一下? A:請在開啟遠端桌面連線之後,切換到「連線」頁面內,然後按下下方的〔設定〕按鈕。緊接著會開啟TS閘道伺服器的設定頁面,如下圖所示這裡可以以手動的方式設定TS閘道伺服器的連線位址以及登入方法的驗證方式。完成設定之後按下〔確定〕按鈕。
Q:我已經完成了一部Windows Server 2008終端機服務主機,以及一部授權主機的安裝,但是在開啟「伺服器管理員」介面並且展開至「終端機服務設定」→「授權診斷」節點時,在授權診斷資訊中 卻出現了「未設定終端機伺服器的授權模式」和「終端機伺服器的寬限期已過期,但是終端機伺服器尚未探索到任何授權伺服器」兩個錯誤訊息,該如何解決呢? A:這個問題通常發生在第一次安裝終端機服務伺服器角色時,選擇了稍後再設定,而不是立即設定相關的授權模式。 基本上,只要確認目前的終端機服務授權的主機已經完成相關合法授權的啟用設定之後,那麼想要解決這個問題,先從「系統管理工具」→「終端機服務」下拉選單內,點選開啟「終端機服務設定」。 接著,會開啟一個管理介面,請在「編輯設定」的授權區域中連續點選「終端機服務授權模式」項目。 接下來將會開啟「內容」視窗的〔授權〕活頁標籤,如果目前的終端機服務授權模式是「尚未設定」,那麼請將其變更為實際購買授權的模式,選擇「每一裝置」或「每個使用者」。 然後,在「指定授權伺服器探索模式」區域中選取「使用指定的授權伺服器」選項(建議)。 最後,輸入授權伺服器的名稱。輸入的格式可以是IP位址、FQDN或是電腦名稱。成功設定之後,將會出現如下圖所示的訊息說明。 |
歡迎光臨 百利工頭 (http://bb.pc104.tw/) | Powered by Discuz! 6.0.0 |