[ A Windows Server 2008 újdonságai: terminálszolgáltatások ]

A Windows Server 2008 újdonságai: terminálszolgáltatások

  • 2007-12-03 05:56
A terminálszolgáltatás a Windows NT 4 óta megtalálható a Microsoft kiszolgáló oldali operációs rendszereiben - bár akkoriban még önálló verzióban kapott helyet a szolgáltatás, ez volt a Windows NT4 Terminal Server Edition. A Windows Server 2008 a terminálszolgáltatások területén is több újdonságot mutat be.

Talán sokak számára ismer?s a kliens operációs rendszerekben is megtalálható "Távoli asztali kapcsolat" vagy más néven Remote Desktop Connection, melynek segítségével igénybe vehetjük a Terminal Server szolgáltatásait, és más számítógépekhez is csatlakozhatunk adminisztrációs feladatok elvégzése céljából. A terminálszolgáltatás telepítése után ez az úgynevezett távfelügyeleti (Remote Administration) mód az alapértelmezett, mely egyidej?leg három felhasználó kapcsolódását engedélyezi (1 helyi és 2 távoli). A Windows Server 2008-ban ez a limit 1+1-re módosult. Tipikusan nem ebben a konfigurációban használjuk a terminálszolgáltatást, hanem "Terminal Server" módban mely lehet?vé teszi annyi felhasználó kapcsolódását amennyi licencet vásároltunk. Ez a lehet?ség általában olyan környezetben használatos ahol a kliensek különböz? okok miatt nem képesek futtatni a használni kívánt alkalmazásokat - vagy arra egyéb okokból nincs is szükség. Ez az ok lehet az er?források sz?kössége, az inkompatibilitás, vagy a program által igényelt központi adatbázis. Tudni kell, hogy a távoli használat során az alkalmazások a kiszolgálón futnak, a helyi gépen mindössze egy terminál kliens futtatása és elegend? hálózati sávszélesség szükséges.

Lássuk, milyen újdonságokat vonultat fel a Windows Server 2008 a terminálszolgáltatások terén. El?ször a kliens oldalt érdemes megvizsgálni, hiszen a Vista hozta meg az els? változásokat a Remote Desktop protokoll (RDP) 6-os verziójának megjelenésével. Két fontos dolgot emelnék ki, az els? talán nem annyira köztudott, miszerint az RDP telepítésével együtt felkerül a számítógépre a webes eléréshez (Remote Desktop Web Access) szükséges ActiveX vezérl? is, így ezentúl nem szükséges a böngész?b?l telepítenünk. Ez olyan környezetben lehet el?nyös, ahol az ActiveX vezérl?k telepítése tiltva van. Egy másik fontos újdonság, amelyet majd csak a Server 2008 fog igazán kiaknázni, a hálózati szint? hitelesítés (Network Level Authentication - NLA), melynek segítségével még azel?tt hitelesíthetjük magunkat miel?tt megtörténne az RDP kapcsolat felépítése. Ez biztonsági szempontból nagyon jelent?s fejl?dés.

Szintén a biztonságot növeli a Transport Layer Security (TLS) mely biztosítja, hogy valóban az általunk választott kiszolgálóhoz csatlakozunk és nem egy rosszindulatú harmadik fél által üzemeltetett szerverhez, melynek segítségével esetleg adatokat próbálnak megszerezni. A TLS protokoll a manapság legszélesebb körben használatos Secure Socket Layer (SSL) protokoll továbbfejlesztése.

A biztonságon felül érdemes még megemlíteni a megjelenítés újdonságait is. A maximális felbontás 4096×2048 és immár 16:9-es, illetve 16:10-es képarányban is dolgozhatunk. Egyedi felbontást az RDP konfigurációs fájl módosításával, vagy a következ? paraméter használatával állíthatunk be:

mstsc /w: width /h: height

Ezeken felül a több monitoros üzemmód támogatása is helyet kapott a szolgáltatások között, melyet a "/span" kapcsolóval aktiválhatunk, így kiterjeszthetjük az asztalt. A grafikai alkalmazásokat használók számára jelent?s újdonság a 32 bites színmélység támogatása, valamint implementálásra került a ClearType funkció is, melyet "Font Smoothing" néven találunk meg a programban. A szépségnek azonban ára van, a ClearType használata akár tízszeresére is növelheti a felhasznált sávszélességet, ezért lassú internet kapcsolat esetén nem javasolt az engedélyezése.

Egy szintén kevésbé ismert, de annál jelent?sebb újdonság a nyomtatással kapcsolatos, ez pedig az EasyPrint. Az EasyPrint megsz?nteti a kliens oldali nyomtató szerverre telepítésének szükségességét, és úgynevezett "driver nélküli" módon teszi lehet?vé a nyomtatást. A módszer lényege gyakorlatilag annyiból áll, hogy a szerver XPS formátumban a kliensnek továbbítja a nyomtatandó dokumentumot, majd azt a helyi gépen futó operációs rendszer dolgozza fel és küldi el a nyomtatónak.

Természetesen az új kliens letölthet? Windows XP SP2-re és Windows Server 2003-ra is, azonban bizonyos szolgáltatások így nem elérhet?k, például a már el?z?ekben említett NLA.

A fentiekben említett fejlesztéseken felül új funkciók is helyet kaptak a Windows Server 2008-ban. Most lássuk melyek is ezek.


TS RemoteApp

Talán az egyik leglátványosabb és a felhasználók számára leghasznosabb fejlesztésr?l lesz szó a következ?kben. A RemoteApp - mint nevéb?l is kit?nik - kimondottan a távoli alkalmazások futtatásában nyújt segítséget. Használatával lehet?ségünk nyílik alkalmazásainkat olyan környezetben futtatni mintha azokat ténylegesen a helyi számítógépr?l indítottuk volna el. Hogy egy kicsit érthet?bb legyen mir?l is van, egy kicsit visszanyúlnék a Windows Server 2003-hoz. Nagyon sok vállalatnál csupán egyetlen alkalmazás miatt használják a terminál szolgáltatást, f?ként er?forrástakarékosság miatt. Ilyenkor hiába csak egy alkalmazásról van szó, mégis látjuk a teljes távoli asztalt, még ha csak a hátteret is, de mindenképpen egy másik ablakban kell dolgoznunk ami nagyon zavaró lehet, f?leg ha rendszeresen váltogatunk a távoli és helyi programjaink között. Erre a problémára jelent orvosságot a RemoteApp, hiszen képes a programot úgy megjeleníteni, mintha az valóban a klienseken futna. Persze ez csak a látszat, de ez éppen elegend? a kényelmes használathoz. A képen egy helyi gépr?l indított Paint-et és egy távoli asztalon futó Wordpad-ot láthatunk egyetlen asztalon, mégpedig a helyi számítógépén.

[ Kép ]

Több távoli alkalmazás együttes használata esetén a kliensszámítógép mindössze egyetlen terminál kapcsolatot épít fel a kiszolgálóval, a feladatkezel?ben jól megkülönböztethet?ek a távolról futó programok.

[ Kép ]

A programokat RDP konfigurációs fájlok formájában is terjeszthetjük, de készíthetünk Windows Installer csomagokat is, melyeket aztán csoportházirend segítségével juttathatunk a kliensekre, hivatkozást hagyva a Start menüben vagy akár az asztalon, így felhasználóink úgy használhatják ezeket a távoli programokat mintha ténylegesen a saját munkaállomásaikon kerültek volna telepítésre.


TS Web Access

Err?l a szolgáltatásról a korábbiakban az RDP kliens kapcsán esett szó. Az eddigi Windows verziókban a Web Access m?ködése a következ? volt: el?ször a felhasználó egy ActiveX vezérl? segítségével a böngész?jét használva csatlakozhatott a terminál kiszolgálóhoz, majd a böngész?ben elérhette a távoli asztalt. Amennyiben nem volt jogosultsága a helyi gépre telepíteni az ActiveX vezérl?t, nem volt képes ebben a formában elérni a távoli számítógépet sem. Ezt a problémát orvosolta az RDP kliens 6-os verziója.

A fejleszt?k a Web Access szolgáltatást ötvözték a már bemutatott RemoteApp szolgáltatással így lehet?ségünk nyílik a publikált alkalmazások indítására is a webes felület segítségével.

[ Kép ]

A Web Access felhasználói felülete jelent?s átalakításon esett át, amely több alkalommal változott a béta verziók között is, így még nem biztos, hogy a végleges felületet láthatjuk.

Itt csoportosulnak mindazok az alkalmazások melyeket elérhet?vé tettünk a webes kliens számára, továbbá amennyiben adtunk jogosultságot a terminál kapcsolat használatára, itt jelenik meg a már ismert ikon is. Ez alternatíva lehet azon programok indítására amelyeket nem "telepítettünk" a kliensekre az el?bbiekben ismertetett módon. Természetesen ebben az esetben is a saját "asztalunkon" indulnak el a programok, nem pedig a böngész?ben.

A Remote Desktop Web Connection új felülete:

[ Kép ]

Lehet?ségünk van a TS Web Part integrálására a magunk által készített céges weblapon vagy a bels? SharePoint oldalon is. A Web Part a Web Access oldal azon része ahol az elérhet? programok listáját láthatjuk.


TS Gateway

Szintén egy teljesen új dologról van szó, amely f?leg olyan környezetben lesz nagyon népszer? ahol eddig virtuális magánhálózatot, vagyis VPN-t használtak a terminál szerver elérésére. A Terminal Services Gateway lehet?vé teszi, hogy biztonságos HTTPS kapcsolaton keresztül érjük el a terminál-kiszolgálónkat, bárhol is tartózkodunk a világban. Erre eddig csak a már említett VPN-kapcsolat használatával volt lehet?ség, azonban a vállalati t?zfalak és esetlegesen publikus hálózatok t?zfalai problémát okozhattak, amennyiben nem voltak a megfelel? szabályok definiálva és azok esetleg blokkolták a kapcsolódáshoz szükséges portokat, protokollokat.

A TS Gateway használatával tehát nem csak biztonságosabb, de egyszer?bb is lesz a terminálszolgáltatások küls? hálózatból történ? használata. Ez köszönhet? annak, hogy mindösszesen egyetlen port, a 443-as megnyitására van szükség, amely az esetek nagy többségében engedélyezve van a vállalati környezetekben, már csak a HTTPS kapcsolattal történ? böngészés miatt is. Amikor TS Gateway használatával csatlakozunk a kiszolgálónkhoz, a kliens a 443-as porton keresztül éri el az átjárót, innen pedig a szokásos TCP 3389-es porton keresztül történik a kapcsolódás a terminál szerverhez. Természetesen telepíthetjük ugyanazon számítógépre is a két szolgáltatást, de ez nem javasolt használati mód. A beállításoknál pontosan meghatározhatjuk, hogy mely felhasználók, mely számítógépekr?l, milyen er?forrásokat érhetnek el a hálózatunkban, ezek definiálására a RAP (Resource Authorization Policy) és a CAP (Connection Authorization Policy) házirendek állnak rendelkezésre, azonban fokozhatjuk a biztonságot ha az ISA Server + TS Gateway + NAP Server modellt alkalmazzuk.

Ebben az esetben a hálózati forgalom az ISA kiszolgálóig HTTPS, a bels? hálózaton pedig már normál HTTP protokollon keresztül zajlik, ugyanis az ISA képes eltávolítani a kapcsolat tanúsítványát. Ebben az esetben a forgalom már sz?rhet? a t?zfal szabályai szerint is, a NAP Server pedig megvizsgálhatja a kliensek állapotát és a beállított szabályok szerint engedélyezheti, vagy megtagadhatja a hálózati hozzáférést. Ha minden rendben van, akkor jön a TS Gateway és az el?bb említett szabályok szerint hozzáférést engedélyez a meghatározott er?forrásokhoz.

A TS Gateway beállításai az új kliensben:

[ Kép ]

Csatlakozás után a következ?t láthatjuk:

[ Kép ]


Sorozatunk következ? részben a cikkben már érint?legesen szóba került NAP Server-rel, vagyis a kliens számítógépek hálózati hozzáférését különböz? szabályrendszerek alapján menedzsel? megoldással foglalkozunk.

2007-12-04 21:27
Nem annyira ismerem a citrix kliens m?ködését, de valóban hasonlónak t?nik funkcióját tekintve. :)
Klassz írás.Az a RemoteApp kicsit mintha hasonlítana a citrix kliensre vagy tévedek?
Hello!
Ez most nem teljesen ide kapcsolódik: Valamikor kapható lesz itthon a Windows ome Server? Vagy ezt inkább a HP-nál kéne megkéreznem? :D