全部ppt打包第11章 終端服務(wù)

1、 第11章 終端服務(wù)本章的任務(wù)介紹什么是遠(yuǎn)程桌面在服務(wù)器上啟用遠(yuǎn)程桌面功能，在客戶端使用客戶端軟件連接到服務(wù)器在服務(wù)器上安裝終端服務(wù)配置和管理終端服務(wù)發(fā)布桌面應(yīng)用程序在客戶端通過(guò)Web方式訪問(wèn)終端服務(wù)和應(yīng)用程序11.1 遠(yuǎn)程桌面11.1.1 為什么需要遠(yuǎn)程桌面 為什么需要遠(yuǎn)程桌面 服務(wù)器通常放在機(jī)房?jī)?nèi)，機(jī)房?jī)?nèi)電磁輻射大、噪音大、空間小，不是管理員的久留之地。通常管理員除了安裝服務(wù)器硬件、初次安裝操作系統(tǒng)或者數(shù)據(jù)庫(kù)等軟件、巡檢時(shí)才會(huì)到機(jī)房， 他們是在自己的辦公桌上配置服務(wù)器。這就需要用到遠(yuǎn)程桌面，使得管理員能夠遠(yuǎn)程管理服務(wù)器。遠(yuǎn)程桌面簡(jiǎn)介（稱為客戶端）移動(dòng)鼠標(biāo)、單擊鼠標(biāo)、鍵盤輸入等，通過(guò)專門的協(xié)

2、議（RDP，Remote Desktop Protocol，遠(yuǎn)程桌面協(xié)議）將這些指令傳到服務(wù)器上，服務(wù)器執(zhí)行后又通過(guò)RDP協(xié)議將結(jié)果傳回到客戶端?？蛻舳藘H僅是從鍵盤、鼠標(biāo)等接收管理員的指令，或者顯示服務(wù)器執(zhí)行后的結(jié)果，它僅僅是一個(gè)輸入/輸出設(shè)備而已，真正負(fù)責(zé)運(yùn)算的是服務(wù)器上的CPU，我們可以把客戶端看成是服務(wù)器上的鍵盤線、鼠標(biāo)線和顯示器線的延長(zhǎng)而已。RDP協(xié)議使用傳輸層的TCP 3389端口。11.1.2 在服務(wù)器上允許遠(yuǎn)程桌面連接在Windows Server 2008中，已經(jīng)內(nèi)置了遠(yuǎn)程桌面連接功能， 但是只允許不超過(guò)2個(gè)用戶連接到服務(wù)器。默認(rèn)時(shí)只有Administrator可以進(jìn)行遠(yuǎn)程連接

3、，可以在圖11-2中，單擊“選擇用戶”把其它用戶加入。例外11.1.3 在客戶端上遠(yuǎn)程連接到服務(wù)器安裝遠(yuǎn)程桌面客戶端程序:客戶端要連接到服務(wù)器需要安裝遠(yuǎn)程桌面客戶端程序（Terminal Services Client），默認(rèn)時(shí)Windows操作系統(tǒng)已經(jīng)安裝了遠(yuǎn)程桌面客戶端程序。建議版本為6.0以上，客戶端程序可以到微軟的下載中心免費(fèi)下載遠(yuǎn)程桌面的使用遠(yuǎn)程桌面的高級(jí)設(shè)置本地資源設(shè)置程序設(shè)置可以設(shè)置遠(yuǎn)程桌面連接成功后會(huì)自動(dòng)啟動(dòng)的程序，該程 序是在終端服務(wù)器上執(zhí)行的， 登錄成功后，將會(huì)看到該程 序的界面，而看不到桌面；程序退出后，會(huì)自動(dòng)注銷遠(yuǎn)程桌面連接。體驗(yàn)設(shè)置可以根據(jù)連接線路的帶寬來(lái)優(yōu)化連接的性

4、能，實(shí)際上是在使用低速連接時(shí)關(guān)閉一些不重要的功能，例如“桌面背景”、“菜單和窗口動(dòng)畫”等以減小通信量。高級(jí)設(shè)置服務(wù)器身份驗(yàn)證將驗(yàn)證您是否連 接到正確的遠(yuǎn)程計(jì)算機(jī)或服務(wù)器。此安全措施可阻止未經(jīng)授權(quán)的遠(yuǎn) 程計(jì)算機(jī)攔截?cái)?shù)據(jù)。11.2 終端服務(wù)11.2.1 為什么需要終端服務(wù)提高服務(wù)器硬件資源的利用率: 當(dāng)前服務(wù)器硬件性能已經(jīng)很好，CPU的利用率通常維持在低水平狀態(tài)。通過(guò)使用終端服務(wù)，企業(yè)可以提高服務(wù)器的利用率，同時(shí)延長(zhǎng)桌面系統(tǒng)硬件的使用期限。因?yàn)檎麄€(gè)系統(tǒng)的所有處理任務(wù)都是在服務(wù)器端完成的，桌面系統(tǒng)基本上就是一個(gè)啞終端，這意味著現(xiàn)有的桌面系統(tǒng)硬件可以選用較為低端、甚至是即將淘汰的桌面系統(tǒng)硬件，降低成本

5、。用戶可以托管單個(gè)應(yīng)用而非整個(gè)對(duì)話用戶可以隨地訪問(wèn)“工作”計(jì)算機(jī)應(yīng)用維護(hù)更簡(jiǎn)便桌面系統(tǒng)受到攻擊的可能性降低11.2.2 安裝終端服務(wù)11.2.2 安裝終端服務(wù)11.2.2 安裝終端服務(wù)11.2.2 安裝終端服務(wù)11.2.2 安裝終端服務(wù)11.2.2 安裝終端服務(wù)11.2.3客戶端連接到終端服務(wù)器客戶端連接到終端服務(wù)器，有兩種方式：使用客戶端程序，見(jiàn)前面的小節(jié)11.1.3使用瀏覽器，見(jiàn)后面的小節(jié)11.4。11.2.4 終端服務(wù)配置RDP-Tcp連接屬性RDP-Tcp加密級(jí)別加密級(jí)別含義低使用56為加密算法對(duì)從客戶端到服務(wù)器的數(shù)據(jù)進(jìn)行加密，但從服務(wù)器發(fā)向客戶端的數(shù)據(jù)不加密客戶端兼容以客戶端支持的最

6、大密鑰強(qiáng)度加密客戶端和服務(wù)器端之間的通信，如果客 戶端軟件新舊混合，請(qǐng)選擇此級(jí)別高使用128為加密算法對(duì)從客戶端和服務(wù)器的之間數(shù)據(jù)進(jìn)行加密，如果客戶 端不支持加密此加密算導(dǎo)致無(wú)法連接符合FIPS標(biāo)準(zhǔn)使用Microsoft加密模塊，用FIPS加密算法加密客戶端和服務(wù)器之間的通信安全層說(shuō)明SSL (TLS 1.0)SSL (TLS 1.0) 將用于服務(wù)器身份驗(yàn)證以及對(duì)服務(wù)器與客戶端之間傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密。協(xié)商（這是默認(rèn)設(shè)置）將使用客戶端支持的最安全的安全層。如果支持 SSL (TLS 1.0)，則使用SSL (TLS 1.0)。如果客戶端不支持 SSL (TLS 1.0)，則使用 RDP 安全

7、層。RDP 安全層服務(wù)器與客戶端之間的通信將使用本機(jī) RDP 加密。如果選擇 RDP 安全層則無(wú)法使用網(wǎng)絡(luò)級(jí)身份驗(yàn)證。登錄設(shè)置會(huì)話設(shè)置當(dāng)會(huì)話達(dá)到限制或者連接被中斷時(shí)，可以選擇將用戶從會(huì)話中斷開(kāi)連接或結(jié)束會(huì)話。會(huì)話結(jié)束后會(huì)話會(huì)永久地從服務(wù)器中刪除，而任何運(yùn)行的應(yīng)用程序都會(huì)強(qiáng)行退出，這可能會(huì)導(dǎo)致數(shù)據(jù)丟失。當(dāng)已斷開(kāi)的會(huì)話達(dá)到會(huì)話限制時(shí)，此會(huì)話將結(jié)束， 并永久地從服務(wù)器上刪除。也可以允許會(huì)話不確定地繼續(xù)執(zhí)行。環(huán)境設(shè)置設(shè)置客戶機(jī)登錄后啟動(dòng)的應(yīng)用程序遠(yuǎn)程控制遠(yuǎn)程控制是從一個(gè)會(huì)話遠(yuǎn)程控制另一個(gè)會(huì)話客戶端設(shè)置可以控制遠(yuǎn)程計(jì)算機(jī)的本地資源是否在遠(yuǎn)程桌面中顯示出來(lái)網(wǎng)卡設(shè)置權(quán)限設(shè)置服務(wù)器屬性 默認(rèn)時(shí)終端服務(wù)器會(huì)為每

8、個(gè)新的會(huì)話創(chuàng)建單獨(dú)的臨時(shí)文件夾，使得每個(gè)用戶可以存儲(chǔ)各自的臨時(shí)文件，可以設(shè)置服務(wù)器不為每個(gè)會(huì)話創(chuàng)建單獨(dú)的文件夾，而讓所有的會(huì)話使用共同的文件夾。用戶注銷時(shí)會(huì)刪除這些臨時(shí)文件夾，也可以設(shè)置用戶注銷時(shí)不刪除這些文件夾。 如果設(shè)置每個(gè)用戶只能進(jìn)行一個(gè)會(huì)話，將只允許每個(gè)用戶進(jìn)行一個(gè)遠(yuǎn)程桌面連接，如果相同用戶打開(kāi)另一個(gè)連接，前面的連接會(huì)被中斷。授權(quán)設(shè)置11.2.5 終端服務(wù)管理“用戶”選項(xiàng)卡用鼠標(biāo)右擊某一用戶可以斷開(kāi)、復(fù)位、注銷、遠(yuǎn)程控制會(huì)話或者向用戶發(fā)送消息。“會(huì)話”選項(xiàng)卡可以查看連接到終端服務(wù)器的會(huì)話信息“進(jìn)程”選項(xiàng)卡11.2.6 許可證服務(wù)器遠(yuǎn)程客戶在登錄到終端服務(wù)器時(shí)必須收到由終端服務(wù)器許可證服

9、務(wù)器頒發(fā)的有效許可，否則在客戶首次登錄的120天后，終端服務(wù)器會(huì)停止它們的連接請(qǐng)求，因此要在網(wǎng)絡(luò)中安裝許可證服務(wù)器并激活許可證服務(wù)器。激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器激活許可證服務(wù)器11.3 TS Web訪問(wèn)在客戶端除了使用客戶端軟件（TerminalServices Client）連接終端服務(wù)器，也可以使用Web方式連接終端服務(wù)器。在服務(wù)端需要安裝“TS Web訪問(wèn)”角色服務(wù)?？蛻舳耸褂肳eb方式連接終端服務(wù)器步驟在瀏覽器中輸入http:/服務(wù)器名或者IP地址/ts

10、 ，輸入用戶名和客戶端的計(jì)算機(jī)需要安裝TS Web訪問(wèn)插件（終端服務(wù)ActiceX客戶端）才能在瀏覽器連接終端服務(wù)器11.4 RemoteApp 程序11.4.1 什么是TS RemoteApp？TS RemoteApp 使程序可以通過(guò)終端服務(wù)進(jìn)行遠(yuǎn)程訪問(wèn)，就好像運(yùn)行在最終用戶的本地計(jì)算機(jī)上一樣。這些程序稱為RemoteApp 程序。RemoteApp 程序與客戶端的桌面集成在一起，而不是在遠(yuǎn)程終端服務(wù)器的桌面中向用戶顯示。RemoteApp 程序在自己的可調(diào)整大小的窗口中運(yùn)行，可以在多個(gè)顯示器之間拖動(dòng)，并且在任務(wù)欄中有自己的條目。如果用戶在同一臺(tái)終端服務(wù)器上運(yùn)行多個(gè)RemoteApp 程序，

11、RemoteApp 程序?qū)⒐蚕硗粋€(gè)終端服務(wù)會(huì)話。用戶可以通過(guò)多種方式訪問(wèn)RemoteApp 程序。在本地計(jì)算機(jī)上打開(kāi)RemoteApp 程序之后，用戶可以與正在終端服務(wù)器上運(yùn)行的該程序進(jìn)行交互，就好像它們?cè)诒镜剡\(yùn)行一樣。11.4.2 發(fā)布應(yīng)用程序11.4.2 發(fā)布應(yīng)用程序11.4.2 發(fā)布應(yīng)用程序11.4.2 發(fā)布應(yīng)用程序11.4.2 發(fā)布應(yīng)用程序可以創(chuàng)建Windows Installer程序包，則用戶使用該程序包安裝后，使用快捷方式就能訪問(wèn)應(yīng)用程序11.4.2 發(fā)布應(yīng)用程序在“快捷方式圖標(biāo)”區(qū)，可以選擇安裝程序后是否在桌面或者“開(kāi)始”菜單創(chuàng)建快捷方式；在“接管客戶端擴(kuò)展”區(qū)，可以選擇是否將應(yīng)用程序和相應(yīng)的文件進(jìn)行關(guān)聯(lián)，例如打開(kāi)“.doc文件”11.4.3 訪問(wèn)應(yīng)用程序有三種方式可以訪問(wèn)應(yīng)用程序：rdp文件Web訪問(wèn)方式Windows Installer程序包rdp文件把在上一節(jié)創(chuàng)建的rdp文件發(fā)送給客戶，在客戶端