將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2008/7/4

Windows Server 2008終端機服務管理秘訣TOP10 簡化過去用戶端連線存取的繁複程序

顧武雄
全新設計的終端機服務是Windows Server 2008的一大特色,它不僅大幅簡化了用戶端連線存取的作業程序,相較於以往,更降低了企業IT許多管理上的負擔。
打從Windows 2000 Server的版本開始,內建終端機服務功能在企業IT的應用中就已經相當普遍,只不過當時的版本在效能運作與管理設計上並不理想,以至於多半只被系統管理員用於遠端的伺服器管理,至於實際用戶端的連線使用,則多半整合其他協力廠商的產品。

直到Windows Server 2003開始,由於終端機服務的整體運作效能大幅度改善,在企業用戶端的實務應用才開始被大幅地推廣。  

而新上市的Windows Server 2008同樣也內建終端機服務角色,不僅在效能設計方面更加理想,對於近端與遠端使用者的連線存取要求,更提供了完善的存取機制與絕佳的遠端安全存取控管機制。  

Windows Server 2008中Terminal Services所提供的RemoteApp功能,是筆者認為在此次終端機服務全面改版設計中對用戶端最貼心的一項新功能,因為舊版的Windows Server必須整合其他協力廠商的產品才能執行,而這項功能的管理與使用,將使得用戶端在執行終端機服務主機上的應用程式時,就如同執行本機的應用程式,對於管理員來說,從安裝到用戶端的部署也會變得更加容易。  

至於內建的新終端機服務閘道(TS閘道)伺服器,則能夠讓授權使用者在具備網際網路連線能力之下,將外部電腦輕易連接到公司網路的TS閘道,然後再藉由此TS閘道自動轉向到所欲連線的終端機伺服器,或是已開放遠端桌面連線的電腦。TS閘道會使用遠端桌面通訊協定(RDP)配合HTTPS協助建立更安全的加密連線,稱之為RDP over HTTPs。  

TOP1讓Windows Server 2008接受遠端桌面管理  

Q:請問在不想安裝終端機服務伺服器角色的情況下,可以讓Windows Server 2008伺服器接受系統管理員進行遠端桌面的連線管理嗎?可否說明一下相關的設定步驟?  

A:用戶端的Windows XP、Windows Vista作業系統內都提供了一項遠端桌面的連線功能,方便使用者從遠端連線到自己的電腦進行各種操作,所以這一項必備的功能在Windows Server 2008中也找得到,只是在系統預設狀態下並未啟用。  

想要在Windows Server 2008中啟用遠端桌面的連線功能,先在〔開始〕功能表的【電腦】項目上按下滑鼠右鍵,然後點選快速選單中的【內容】。接著會開啟「系統資訊」視窗,請點選工作頁面內的「遠端設定」連結。開啟系統內容頁面之後,首先會進入〔電腦名稱〕活頁標籤,在「電腦描述」欄位中輸入此伺服器的用途說明。接下來,如下圖所示切換到〔遠端〕活頁標籤中,可以發現在遠端桌面設定方框內,設定為「不允許連線到此電腦」。

▲遠端設定內容


若要啟用此項功能,請選取其他兩個允許連線的設定項目其中之一,如果欲連線過來的另一部電腦也是Windows Server 2008或Windows Vista,則選取「僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線」,因為這種連線方式是目前最新最安全之遠端桌面的連線機制。接著點選〔選取使用者〕按鈕,再按下〔新增〕按鈕來設定允許遠端連線的網域或本機使用者清單。  

最後,如果在此伺服器上已啟用了內建的Windows防火牆,那麼還必須再設定本機的Windows防火牆組態,才能夠讓遠端電腦的使用者連線到遠端桌面服務。先到「控制台」中點選〔Windows防火牆〕圖示,然後在新畫面中點選「變更設定」連結,接著切換到「例外」頁面內,並在例外清單中確認是否已經勾選「遠端桌面」選項,確認勾選後按下〔確定〕按鈕即可完成設定。  

TOP2在Windows Server 2008安裝終端機服務角色  

Q:我想要在公司現有的Active Directory網路環境內建置一部以Windows Server 2008為主的終端機服務主機,讓用戶端存取某些應用程式,請問該如何安裝及設定?  

A:先依序點選「開始」→「系統管理工具」→「伺服器管理員」,然後點選「角色」節點頁面中的「新增角色」連結,進入「伺服器角色」頁面。接著勾選「終端機服務」項目,並按下〔下一步〕按鈕。  

隨後切換至「選取角色服務」頁面內,請依照實際的需求來勾選安裝終端機服務角色的細部元件,下圖範例可以將「終端機伺服器」、「TS授權」和「TS Web存取」三個元件安裝在同一部主機內。設定之後,按下〔下一步〕按鈕。

點圖放大
▲安裝終端機服務角色元件


如果終端機伺服器角色打算安裝在一部網域控制站主機上(DC)時,那麼在點選安裝項目時,將會出現一個安全性警告訊息,因為網域控制站是帳戶資料庫管理的集中地,所以不建議在此角色上安裝任何其他伺服器角色。在勾選「TS Web存取」元件的同時,會出現新增角色精靈畫面,這是因為要讓使用者享有透過Web網站存取終端機服務的功能,因此必須安裝相關必要的IIS網站元件,所以務必按一下〔新增所需的角色服務〕按鈕。  

接著,在「驗證方法」頁面內能夠選擇的項目有「需要網路層級驗證」與「不需要網路層級驗證」。在「授權模式」頁面內,如果目前仍在試用版階段可以選擇「稍後再設定」,相反地,如果已經購買相關的終端機服的用戶端連線授權(CAL),則依照所購買的授權類型直接選取「每一裝置」或「每個使用者」授權模式來設定,在此選擇「稍後再設定」即可。  

在「使用者群組」頁面內按下〔新增〕按鈕,加入允許終端機連線登入的群組,而這些群組都會加入到系統預設的「Remote Desktop Users」群組內。在預設的狀態下,只有本機的「Administrators」群組會被加入。後續也可以自行在「Active Directory使用者與電腦」頁面中管理「Remote Desktop Users」群組中的成員。  

在「TS授權設定」頁面內,必須設定終端機服務授權主機的探索領域,一般選取「這個網域」即可,除非將終端機服務授權主機安裝在相同樹系但不同網域時,才須要選取「樹系」這個選項。最後,可能會出現要求重新開機的警告訊息。  

TOP3讓使用者以IE連線存取終端機服務的網站  

Q:對於連線終端機服務,除了常用的遠端桌面連線或RemoteApp的存取方式之外,我希望對於遠端外部的使用者連線,能夠讓他們透過IE瀏覽器來直接連線存取,因此想請問使用者如何才能進行連線呢?有那些事項須要特別留意呢?  

A:終端機服務用戶端的使用者,除了可以採用內建的遠端桌面連線或RemoteApp的部署方式來連線存取之外,還可以透過IE 7瀏覽器來直接存取。不過,前提是必須使用Windows XP Service Pack 3,如果採用Windows Vista作業系統,則還需要Service Pack 1。  

對系統管理員來說,在TS Web設定管理上可以從系統管理工具來開啟設定介面,而一般終端機用戶端的授權使用者,則只要輸入該伺服器的網址即可進行連線,例如「https://server/ts」,如下圖所示。開啟頁面之後,如果想要連線到特定的終端機服務的主機,或是已開放遠端桌面連線的電腦,可以點選進入「Remote Desktop」頁面來進行相關連線位址與其他附屬的細部設定。

▲用戶端存取TS Web程式


對於每一位終端機服務主機的系統管理員來說,如果想要知道為何用戶端的使用者可以經由IE 7瀏覽器來存取終端機服務的網站資源,只要從系統管理工具選單中,開啟「網際網路資訊服務管理員」介面,然後展開預設的網站節點,即可看到「TS」的虛擬目錄。  

TOP4在終端機服務主機上安裝所要共用的應用程式  

Q:我目前已經在公司內部網路中建置了一部Windows Server 2008終端機服務角色,希望可以將公司許多共用的應用程式安裝在這部主機上讓每一位使用者使用,不知道正確的做法為何?是否有哪些事項須要特別留意?  

A:在網域內建置好Windows Server 2008的終端機服務角色之後,接著便可以陸續安裝所有要讓終端機服務用戶端使用者存取的應用程式。不過,在安裝非微軟的應用程式之前,務必先跟原廠確認與Windows Server 2008終端機服務的相容性再動手比較妥當。  

想要在Windows Server 2008終端機服務主機上安裝共用的應用程式,先開啟「控制台」,之後點選「在終端機伺服器安裝應用程式」。接著會開啟TS安裝模式精靈介面,若要進一步了解,可以點選「什麼是TS安裝模式」連結開啟內容說明視窗。  

如下圖所示,在接下來的頁面中按下〔瀏覽〕按鈕,然後選取所要安裝的應用程式的安裝執行檔。而在隨後的頁面中,〔上一步〕與〔完成〕按鈕將會呈現在無法點選的狀態,這表示目前所指定的應用程式正在安裝中。在未完成安裝之前,請勿按下〔取消〕按鈕或是重新開機。成功安裝應用程式之後,頁面內的〔完成〕按鈕將會恢復允許點選的狀態。

▲設定安裝程式路徑


TOP5 Terminal Services所提供的RemoteApp功能的用法  

Q:看過Windows Server 2008中Terminal Services的RemoteApp功能介紹之後,發現這是終端機服務全面改版中,對用戶端最為貼心的一項新功能,因為舊版的Windows Server都必須整合其他協力廠商的產品。可否說明一下這項功能的管理方法?  

A:安裝好所要的應用程式之後,緊接著從「系統管理工具」→「終端機服務」下拉選單中開啟如下圖所示的TS RempteApp管理員介面。然後在「動作」窗格內點選「新增RempteApp」連結,將之前安裝好的應用程式一一加入RempteApp程式的清單中。

點圖放大
▲TS RempteApp管理員介面


在點選「新增RempteApp」連結之後,將會開啟RemoteApp精靈頁面。接著在「選擇要加入RemoteApp程式清單的程式」頁面中,勾選所有準備要發布給終端機服務用戶端使用者的應用程式項目,而針對個別應用程式的進階設定,則分別點選「內容」來設定。在選擇欲加入RemoteApp程式的進階內容設定部分,通常是針對一些特殊應用程式的執行,可能需要在執行程式的後面加上一些設定參數。  

完成設定之後,在RemoteApp程式清單中,還可以針對個別的應用程式,透過「動作」窗格來啟用或停用RemoteApp程式在TS Web網頁中的顯示與否。接下來,便可以選用個別或批次多選的方式,點選「動作」窗格中的「建立Windows Installer檔案」連結來產生相關的安裝程式。  

在「指定封裝設定」頁面中按下〔瀏覽〕按鈕,點選儲存這些RemoteApp程式的封裝儲存路徑,接著依照實際的需求按下〔變更〕按鈕,修改是否需要伺服器驗證、使用的通訊埠、TS閘道設定和憑證設定等等。  

在「設定發行版本封裝」頁面中,可以設定當部署至用戶端電腦時,捷徑圖示所要存放的路徑(桌面與「開始」功能表資料夾)。其中,可以自行定義「開始」功能表的資料夾名稱。此外,還可以依照實際應用程式部署的需求,決定是否勾選「將此程式的用戶端延伸模組與RemoteApp程式關聯」。對於系統管理員來說,將RemoteApp封裝程式部署至大量的用戶端電腦上,最快速最簡單的方法就是透過Active Directory的群組原則來完成。  

TOP6從遠端檢視/控制終端機使用者連線操作畫面  

Q:在一般的狀況下,伺服器多半允許多人同時連線來存取其中預先安裝好的應用系統,然而也因為如此,連線中的使用者在應用程式操作的過程中可能會遭遇一些問題而需要IT人員協助處理,如果IT人員無法立刻親自前往用戶端電腦面前協助時,該怎麼辦呢?  

A:這時候就可以善用Windows Server 2008在終端機服務中所提供的遠端控制功能,來遠端協助使用者在登入終端機服務後的各項操作上的問題。使用遠端控制功能時,必須先開啟「Active Directory使用者和電腦」介面,確認這些使用者的帳戶屬性是否已經勾選「啟用遠端控制」功能。  

如下圖所示,在使用者內容的〔遠端控制〕活頁標籤內可以發現,在預設狀態下這項功能是勾選的,並且「控制等級」部分設定為「與工作階段互動」,代表系統管理員可以與這位使用者共同操作目前終端機服務上的工作階段。相對地,如果設定成「檢視使用者工作階段」,系統管理員便只能夠檢視這位使用者目前在終端機服務工作階段上的操作情形。

點圖放大
▲使用者遠端控制設定


確認與完成終端機服務之使用者在「遠端控制」上的組態設定之後,接下來系統管理員便可以同樣使用遠端桌面。登入連線到與使用者相同的終端機服務上,然後從系統管理工具中開啟「終端機服務管理員」介面,在目前連線的使用者頁面中查看所有連線中的使用者清單,此時在需要協助或查看的使用者名稱上按下滑鼠右鍵,然後點選快速選單中的【遠端控制】。  

執行之後會出現快速鍵設定視窗,在決定按下何種按鍵組合之後,可以立即切換回到自己原來的終端機服務桌面。至於將受遠端控制的使用者工作階段,將會立即出現「遠端控制要求」的確認對話框,按下〔是〕按鈕之後就可以完成遠端控制的需求。  

TOP7終端機服務伺服器組態的進階設定  

Q:安裝終端機服務伺服器之後,往後維護時如果想變更一些細部的組態設定值,該如何進行呢?可否詳細講解其中每一項設定用途?  

A:從所要管理的終端機服務的伺服器上,點選開啟「系統管理工具」下拉選單中的「終端機服務設定」介面,開啟之後在預設的「RDP-TCP」項目上按下滑鼠右鍵,然後點選快速選單中的【內容】。  

首先,如下頁圖所示在〔一般〕活頁標籤內可以設定安全性階層和加密層級的類型,如果僅允許最新版本的遠端桌面連線6.0(如Windows Vista內的預設版本),便可以勾選「僅允許含有網路層級驗證的電腦執行遠端桌面進行連線」設定。此外,如果採用最高安全的SSL連線機制,憑證部分則必須特別選取。

▲終端機服務的一般設定


在〔登入設定〕活頁標籤內,可以強制用戶端使用此處所指定的帳戶來連線登入,在預設狀態下會使用用戶端提供的登入資訊來進行終端機服務的登入。進入〔工作階段〕活頁標籤之後,將可以設定各種工作階段狀態時的逾時時間,例如可以指定「閒置工作階段限制」時的逾時時間,當時間一到,就可以決定要中斷工作階段連線,或是結束工作階段。  

若切換至〔環境〕活頁標籤內,則可以設定使用者連線登入此終端機服務時的初始程式。一般都是透過Active Directory的使用者個別設定來完成,除非想統一設定所有使用者的連線,才須要到這裡設定。而〔遠端控制〕活頁標籤內,可以強制所有連線的工作階段採用一致性的設定,或是直接設定為不允許遠端控制的功能。如果要強制統一設定遠端控制的控制等級,則在選取「以下列設定使用遠端控制」項目之後進行設定即可。  

在〔用戶端設定值〕活頁標籤內,可以強制設定所有用戶端連線時的色彩深度,以及停用特定的一些重新導向的功能。至於〔網路介面卡〕活頁標籤內,可以針對本機的所有網路介面卡,強制設定連線數目的上限值。最後的〔安全性〕活頁標籤中,則可以設定不同使用者與群組連線終端機服務的權限,其中包括預設的「Remote Desktop Users」群組。  

TOP8建置Windows Server 2008的終端機服務閘道主機  

Q:我想要運用Windows Server 2008所提供的終端機服務閘道功能,讓出門在外的同仁可以輕易地連線存取他們自己的電腦或伺服器資源,請問該如何完成這一部分的建置安裝呢?  

A:由於網路安全性規劃上的考量,一般都會將TS閘道的伺服器獨立安裝在防火牆的DMZ網路區段內,並且讓它可以通過TCP 3389通訊埠的連線方式來轉接到內部的終端機伺服器。  

先從依序點選「開始」→「系統管理工具」下拉選單中的【伺服器管理員】來點選新增角色。接著會來到「伺服器角色」頁面,在此勾選「終端機服務」項目。最後,如下頁圖示在「角色服務」頁面中只勾選「TS閘道」這個項目。  

由於TS閘道伺服器角色,採用了RDP over HTTPs技術來轉送終端機服務的連線,因此勾選這個角色時,將會出現「新增角色精靈」。其中,用戶端憑證對應驗證和RPC over HTTP Proxy是兩項關鍵的重要元件,請點選「新增所需的角色服務」。

點圖放大
▲只勾選TS閘道


接下來在「伺服器驗證憑證」頁面中,選擇TS閘道使用的伺服器憑證,TS閘道主機如果要加入內部的Active Directory網域,可以預先透過MMC介面申請憑證之後再來選取。如果是一部未加入網域的獨立伺服器,只要選取「建立自我簽屬憑證進行SSL加密」即可。設定好後,按下〔下一步〕繼續。  

遠端電腦如果想要透過TS閘道來連線企業內部的終端機服務伺服器,除了需要知道閘道的位址之外,還必須通過連線授權原則(TS CAP)與資源授權原則(TS RAP)的檢驗,才能夠連線存取。因此必須在「為TS閘道建立授權原則」頁面內設定是否要立即進行這兩部分的相關授權原則。安裝好TS閘道伺服器之後,就可以從「系統管理工具」→「終端機服務」下拉選單中開啟TS閘道管理員介面。  

TOP9用戶端連線終端機閘道主機與各種疑難排解  

Q:請問完成建置終端機服務閘道主機之後,遠端使用者連線時,除了使用遠端桌面6.0版本之外,又該如何設定連線組態?而在連線過程中是否會遭遇哪些問題,可否在此說明一下?  

A:請在開啟遠端桌面連線之後,切換到「連線」頁面內,然後按下下方的〔設定〕按鈕。緊接著會開啟TS閘道伺服器的設定頁面,如下圖所示這裡可以以手動的方式設定TS閘道伺服器的連線位址以及登入方法的驗證方式。完成設定之後按下〔確定〕按鈕。

▲設定連線TS閘道組態


當外部使用者成功連線至TS閘道伺服器之後,系統管理員就可以在TS閘道的管理員介面中,從「監視」節點頁面查看到目前所有連線的用戶端,必要的話,還可以隨時選擇中斷目前連線中的工作階段或使用者。然而在什麼情況之下可能會發生遠端電腦連線失敗呢?首先,可能會發生的是如下圖所示的錯誤訊息,這個訊息表示目前TS閘道伺服器上所安裝的憑證來源,並沒有加入到這部電腦的根憑證信任區域之中。

▲用戶端憑證無效


第二種可能發生的情況是出現如下圖所示的錯誤訊息,這表示目前所設定連線的TS閘道伺服器的FQDN位址與伺服器上所安裝指定的憑證主體名稱並不相同。

▲位址與憑證主體名稱不符


最後一種造成連線失敗的原因是出現如下所示的錯誤訊息,代表雖然已經成功連線至TS閘道伺服器,可是TS閘道伺服器卻無法成功連線至所指定的內部終端機服務的主機。

▲找不到內部TS主機


TOP10解決終端機服務授權管理問題  

Q:我已經完成了一部Windows Server 2008終端機服務主機,以及一部授權主機的安裝,但是在開啟「伺服器管理員」介面並且展開至「終端機服務設定」→「授權診斷」節點時,在授權診斷資訊中卻出現了「未設定終端機伺服器的授權模式」和「終端機伺服器的寬限期已過期,但是終端機伺服器尚未探索到任何授權伺服器」兩個錯誤訊息,該如何解決呢?  

A:這個問題通常發生在第一次安裝終端機服務伺服器角色時,選擇了稍後再設定,而不是立即設定相關的授權模式。  

基本上,只要確認目前的終端機服務授權的主機已經完成相關合法授權的啟用設定之後,那麼想要解決這個問題,先從「系統管理工具」→「終端機服務」下拉選單內,點選開啟「終端機服務設定」。  

接著,會開啟一個管理介面,請在「編輯設定」的授權區域中連續點選「終端機服務授權模式」項目。  

接下來將會開啟「內容」視窗的〔授權〕活頁標籤,如果目前的終端機服務授權模式是「尚未設定」,那麼請將其變更為實際購買授權的模式,選擇「每一裝置」或「每個使用者」。  

然後,在「指定授權伺服器探索模式」區域中選取「使用指定的授權伺服器」選項(建議)。  

最後,輸入授權伺服器的名稱。輸入的格式可以是IP位址、FQDN或是電腦名稱。成功設定之後,將會出現如下圖所示的訊息說明。

▲終端機服務授權設定


這篇文章讓你覺得滿意不滿意
送出
留言
顯示暱稱:
留言內容:
送出