Windows Terminalserver 2003 einsetzen
Einleitung:
Ein Terminalserver ist nichts anderes als ein Computer (Server) auf dem Terminaldienste installiert sind.
Terminaldienste stellen den Remotezugriff auf einen Windows-Desktop mithilfe von "Thin Client"-Software sicher, über die der Client als Terminalemulator fungieren kann. Mit dieser Technik wird lediglich die Benutzeroberfläche des Programms an den Client gesendet. Der Client gibt die vom Server zu verarbeitenden Tastatureingaben und Mausklicks zurück. Für den Benutzer zeigt sich nach der Anmeldung lediglich die eigene Sitzung, die vom Betriebssystem des Servers verwaltet und unabhängig von anderen Clientsitzungen ausgeführt wird. Für den User scheint es im Prinzip genau so als würde er auf einem lokalen PC arbeiten. Die Benutzer können Programme ausführen, Dateien speichern und Netzwerkressourcen genauso verwenden, als befänden sie sich direkt am betreffenden Computer. Die Clientsoftware kann auf verschiedener Hardware ausgeführt werden, wie zb. PCs und Terminals, dabei spielt es keine Rolle ob mit welchen Betriebssystem (DOS, Unix, Macintosh...) der Client bootet, Hauptsache er kann sich mit dem TS verbinden.Terminaldienste sind im Windows Server 2003 bereits enthalten
Vorteile:
Mit einem Terminalserver läßt sich Software schnell und effektiv im Netzwerk verteilen, da diese nur einmal installiert werden muß, insbesondere bei häufigen updates ist dies eine Überlegung wert. Besonders bei teurer Software kann die einmalige Installation auf einem TS unter dem Strich wesentlich kostengünstiger kommen kann. Die Installationsprozedur die bei einem PC notwendig ist, entfällt, daher ist ein Arbeitsplatz mit einem Terminalserver-Client schneller einsatzfähig. Durch die implementierte Funktion Remotedesktop für Verwaltung kann der Server vom Administrator komfortabel und effektiv von jedem Computer aus im Netzwerk administriert werden. Die vorhandene Hardware kann länger genutzt werden, da der Client die Rechenpower des TS nutzt.
Anmeldung am Terminalserver
Die Anmeldung umfasst unter anderem des Funktionen, mit denen Kennwörter geändert und Sperren bei Desktops und Bildschirmschonern aufgehoben werden können. Der verschlüsselte Anmeldevorgang gewährleistet die sichere Übertragung von Kenwörtern. Administratoren können Anmeldeversuche und die Verbindungsdauer beschränken.
Anmelden mit Smartcards
Smartcards bieten eine sehr sichere Möglichkeit, sich an einem Client anzumelden.Um sich mit einer Smartcard an einem Netzwerk anzumelden muß man sowohl im Besitz der Smartcard sein als auch über eine persönliche PIN verfügen. Durch die Smartcard wird dem Terminalserver die Identität bestätigt und auch der Zugriff auf Programme ermöglicht. Das ganze wird über einen Dienst abgewickelt der aktiviert sein muß.
Verbindungen konfigurieren
Verbindungseinstellungen können geändert und Verbindungsinformation gespeichert werden. Das alte Programm Terminaldiensteclient-Verbindungs-Manager wird nicht mehr benötigt, es können aber abgespeicherte Verbindungen weiter verwendet werden. Die Dateien können im Ordner Eigene Dateien abgespeichert werden. Zum vereinfachen der Herstellung einer Verbindung zu Terminaldienste sind vorkonfigurierte Verbindungsdateien für Benutzer ein probates Mittel. vorkonfigurierte Verbindungsdateien werden mithilfe von Remotedesktopverbindung erstellt. Für jeden Netzwerkadapter kann nur eine RDP-Verbindung konfiguriert werden. Für zusätzliche RDP-Verbindungen müssen weitere Netzwerkadapter installiert werden.
Im Registereiter Allgemein können die Verbindungs und Anmeldeeinstellungen konfiguriert werden. Vorsicht ist bei der Option Kennwort speichern geboten, da diese zum Sicherheitsrisiko werden kann.
Unter Anzeige wird die Darstellung des Remotedesktops geregelt.
Dieser Registerreiter macht die Terminalverbindung fast zur lokalen Maschine. Die Clients verwenen jeder eine seperate Sitzung auf dem Server, die über TCP/IP und dem Port 3389 geht.
Es muss auch noch die Sicherheitseinstellung des RDP Protokols angepasst werden.(Verwaltung/Terminaldienstekonfiguration/Verbindungen)
Der Client ist unter systemroot\System32\Clients\Tsclient\win32 zu finden oder auf der Installations CD, und kann für Windows 2000/NT ebenso verwendet werden.
Automatisierte lokale Druckerunterstützung
Mithilfe von Terminaldienste können Drucker den Terminaldiensteclients hinzugefügt und automatisch erneut mit diesen verbunden werden.
Laufwerk- und Dateisystemumleitung
Die Benutzer können ihre lokalen Laufwerke nutzen , während sie am Terminalserver angemeldet sind. Im Explorer werden die lokalen Laufwerke der Benutzer im Sitzungsordnerverzeichnis mit der Syntax Laufwerkbuchstabe auf Client xy verwaltet. Den Zugriff auf lokale Laufwerke kann man auch in der Befehlszeile/Ausführungszeile einer Remotesitzung anwenden, die Syntax ist: \\tsclient\ Laufwerkbuchstabe. Dabei wird der Laufwerkbuchstabe ohne Doppelpunkt angegeben. Die automatische Laufwerkzuordnung ist bei Verbindungen mit einem Terminalserver unter Windows 2000 oder einer früheren Version nicht verfügbar.
Audio-Umleitung
Die Benutzer eines Terminalservers können die Audio Ausgabe des TS auf den Client legen.
Umleitung über die Zwischenablage
Es ist möglich, Daten zwischen den Programmen auf dem lokalen Computer und dem Terminalserver über Cut & Paste (Copy) auszutauschen. Gerade beim zwischenspeichern hat sich die Performance zu den Vorgängern erheblich verbessert.
In den erweiterten Optionen werden noch diverse Einstellungen wie z.B. die Verbindungsgeschwindigkeit angeboten.
Terminalserver - Konfiguration
Konfiguration des Terminal Server:
Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.
Unterstützung für servergespeicherte Trennvorgänge
Dieses Feature erlaubt Benutzern die Verbindung zu einer Sitzung zu trennen, ohne sich abzumelden. Eine Sitzung kann trotz getrennter Verbindung aktiv bleiben. Der Vorteil dabei ist daß die Verbindung zur aktiven Sitzung auch von einem anderen Computer aus oder zu einem späteren Zeitpunkt wiederherstellt werden kann . Für das Wiederaufnehmen der Verbindung ist eine Anmeldung erforderlich.
Unterstützung mehrfacher Anmeldungen
Benutzer können sich mehrfach anmelden, das bezieht sich sowohl auf mehrere Sitzungen, wie auch an mehreren Clients gleichzeitig.
Limits festlegen
Es kann sinnvoll sein die Dauer/Leerlauf von Clientverbindungen einzuschränken bzw. festzulegen wie lange eine getrennte Verbindung auf dem Server aktiv bleiben soll. Auch hier ist die Erfahrung des Administrators gefragt, da es keine allgemein gültigen Empfehlungen geben kann.
Die Sitzungslimits können außer mit der Erweiterung Terminaldienste für Lokale Benutzer und Gruppen auch über Active Directory-Benutzer und -Computer für einzelne Benutzer konfiguriert werden.
Terminaldienste als Erweiterung in Active Directory einbauen
Dazu öffnet man eine mmc mit dem Snap in Active Directory-Benutzer und -Computer.
Dann fügt man ein eigenständiges Snap-in hinzu und wählt als Erweiterung die Terminaldienste-Erweiterung.
Sicherheitsmodi festlegen
Terminalserver kann wahlweise in zwei Sicherheitsmodi ausgeführt werden:
Vollständige Sicherheit
Diese Option wählt man um die neuen Sicherheitsfunktionen unter Betriebssystemen der Windows Server 2003-Produktfamilie nutzen zu können und um die größtmögliche Sicherheitsumgebung für den Terminalserver zu gewährleisten.
Niedrige Sicherheit
Diese Option lässt den Zugriff auf die Systemregistrierung zu. So können die meisten älteren Anwendungen genauso wie unter Windows 2000 Terminal Server Edition ausgeführt werden.
Verschlüsselung für Terminalserver
Terminaldienste verfügt über vier verschiedene Stufen der Verschlüsselung
Hoch
Standardmäßig sind Terminaldiensteverbindungen mit der Verschlüsselung Hoch (128-Bit) verschlüsselt.
FIPS Konform
Die Stufe FIPS-konform verschlüsselt und entschlüsselt Daten in beide Richtungen. Die Verschlüsselung erfolgt mit den Verschlüsselungsalgorithmen des FIPS (Federal Information Processing Standard) unter Verwendung der Microsoft-Kryptografiemodule. Wenn die FIPS Verschlüsselung bereits über die Gruppenrichtline Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktiviert wurde, kann dies nicht in der Terminaldienstekonfiguration geändert werden.
Clientkompatibel
Für ältere Clients, die nur niedrige Verschlüsselungsstufen unterstützen, können Administratoren die Verschlüsselungsstufe Clientkompatibel festlegen.
Niedrig
Auf der Stufe Niedrig werden Daten, die vom Client an den Server gesendet werden, unter Verwendung der 56-Bit-Verschlüsselung verschlüsselt.
Daten, die vom Server an den Client gesendet werden, werden nicht verschlüsselt.
Berechtigungen für Verbindungen festlegen
Mit Berechtigungen wird eingestellt wie Benutzer/Gruppen auf einen Terminalserver zugreifen können. Terminaldiensteberechtigungen lassen sich leicht für einzelne Computer verwalten. Dazu werden die Benutzergruppe Remotedesktopbenutzer und das Recht RemoteInteractiveLogon verwendet. Normalerweise benötigt man dieses Feature nicht, es kann in Einzelfällen aber notwendig sein Berechtigungen auf Verbindungsbasis zu verwalten.
Gruppenrichtlinien für Terminaldienste
Eine bevorzugte Verwaltungs und Konfigurationsmöglichkeit ist das arbeiten mit Policies.
Da ein Terminalserver eine Sonderstellung hat ist der Einsatz des Loopback Modus ratsam, was dem TS den Vorrang vor den Richtlinien des Users einräumt.
Im Normallfall reicht die Einstellung Zusammenführen, die erst die Benutzerrichtlinien und dann die Richtlinien des TS lädt. Wer ausschließlich die Computerrichtlinien anwenden will der wählt den Modus Ersetzen.
Um den Administrator vor der Auswirkung zu schützen muß in den Sicherheitseinstellungen die Gruppe Authentifizierte Benutzer entfernt werden und dafür eine alternative Gruppe (z.B. Terminalserver User) in der keine Administratoren enthalten sind hinzufügen.
Bei dieser Gruppe reichen als Rechte Gruppenrichtlinien anwenden und lesen aus.
In der OU-Terminalserver wird eine Policy angewandt die im Loopbackmodus arbeitet. Die Benutzereinstellungen werden sehr restriktiv eingestellt, dabei ist es unerheblich ob sich in der OU Terminalserver ein Userkonto befindet. Melden sich User an einem Server der OU-Terminalserver an, wirken wegen des Loopbackmodus die Einstellungen, die in der OU-Terminalserver definiert sind, die anderen Policies sind nachrangig.
Beim Einsatz von Servergespeicherten Profilen sollte man die Gruppe der Administratoren auf das Profil des Benutzers den Zugriff ermöglichen, was über diese Richtlinie ermöglicht wird: Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile
Sicherheitsgruppe Administratoren zu servergespeicherten Benutzerprofilen hinzufügen
Auswirkung des Loopbackverarbeitungsmodus auf den Administrator verhindern
Das Problem ist, daß sich Policies auf alle Benutzer auswirken , die sich am TS anmelden. Um diesen Mechanismus zu umgehen muß man mit Sicherheitsberechtigungen arbeiten. Man packt zuerst die Terminal-Server User in die OU, in den den Sicherheitseinstellungen der Richtlinie entfernt man die Authentifizierten Benutzer und filtert die Richtlinien nur auf die Terminal Server User, das Recht Lesen und Gruppenrichtlinien übernehmen reicht dabei aus.Administratoren und System wird die Übernahme der Gruppenrichtlinie verweigert. Alternativ kann man auch das Computerkonto des Terminalservers über eine OU konfigurieren.
Tip: Gruppenrichtlinien für Terminalserver werden erst ab Windows Server 2003 unterstützt
Welche Richtlinien man verwendet muß immer individuell entschieden werden, hier ein Vorschlag von
Gruppenrichtlinien.de:
[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer
[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen
[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
Terminalserver - Features
Terminaldienstekonfiguration
Terminaldienstekonfiguration ermöglicht das Erstellen, Ändern, Konfigurieren und Löschen von RDP-Verbindungen .
Integration in Lokale Benutzer, Gruppen und AD
Benutzerkonten für Terminaldienste werden genau wie Benutzerkonten für Windows Server 2003 erstellt Für die Angabe spezifischer Terminaldiensteinformationen stehen noch zusätzliche Optionen zur Verfügung.
Systemmonitor für Terminalserver
Durch die Integration mit dem Systemmonitor können Systemleistung, Prozessorauslastung, Speicherbelegung und Verwendung des ausgelagerten Speichers überwacht werden.
Nachrichtenübermittlung
Meldungen an Benutzer/Clients werden ebenso unterstützt
Remotedesktop für Verwaltung
Jeder Administrator hat Zugriff auf die Verwaltungsdienstprogramme für Terminaldienste.Diese Funktionalität wird standardmäßig installiert.
Für die Remoteverwaltung des Servers ist keine Installation von Terminalserver erforderlich. Um Remotedesktop für Verwaltung verwenden zu können, muß man die Remoteverbindungen aktivieren.
Zeitlimits für Sitzungen
Es können fein abgestimmte Zeitlimits für Sitzungen konfiguriet werden. z.B. Dauer einer aktiven Sitzung, Leerlaufzeit usw.)
Erweiterungen für Active Directory
Für AD Benutzer, Computer und Lokale Benutzer und Gruppen können diverse Einstellungen und Rechte angewandt werden. (z.B. Festlegen des Pfades für das Terminaldienste-Benutzerprofil, Aktivieren oder Deaktivieren von Anmeldungen, Festlegen von Zeitlimits für Sitzungen, Festlegen, wann eine unterbrochene Verbindung getrennt oder wiederhergestellt wird, Aktivieren oder Deaktivieren der Remotesteuerung, Angeben eines Programms, das bei der Anmeldung ausgeführt wird, Verbinden von Clientlaufwerken und -druckern bei der Anmeldung).
Drucken auf lokalen Druckern über die Remotesitzung
Die Druckerumleitung leitet Druckaufträge vom Terminalserver oder Remotedesktopcomputer zu einem Drucker, der mit dem lokalen Computer verbunden ist. Es gibt eine automatische und manuelle Druckerumleitung. Man sollte die manuelle Umleitung verwenden , wenn der lokale Drucker einen Treiber benötigt, der auf dem Remotecomputer nicht verfügbar ist. Die manuelle Umleitung funktioniert nur bei COM oder LPT Anschlüssen, USB wird nicht unterstützt. Die automatische Druckerumleitung verwendet man, wenn der lokale Drucker einen auf dem Server installierten Treiber verwendet. Wenn man sich an einem 2003er Terminalserver anmeldet, der Windows XP Pro verwendet , werden alle auf dem Clientcomputer installierten Drucker und Netzwerkdrucker automatisch erkannt. Auf dem Server wird eine lokale Warteschlange erstellt. Die Druckereinstellungen des Clientcomputers für den Standarddrucker werden vom Server verwendet. Beim trennen oder beenden von Sitzungen , wird die Druckerwarteschlange gelöscht. Um den Drucker zur nutzen zu können , muß der Treiber manuell auf dem Server installiert werden. Um Clientdrucker bei der Anmeldung zu verbinden geht man über Active Directory-Benutzer und -Computer und aktiviert im Benutzerkonto auf der Registerkarte Umgebung unter Clientgeräte das Kontrollkästchen Beim Anmelden Verbindung zu Clientdruckern herstellen.
Benutzerverwaltung für Terminalserver-Benutzer
Man sollte aus Gründen der besseren Administration immer mit Benutzergruppen arbeiten, niemals mit Benutzern.
Windows Server 2003 enthält standardmäßig bereits die Benutzergruppe Remotedesktopbenutzer, die speziell für die Verwaltung von Benutzern von Terminalserver gedacht ist.
Es ist sehr empfehlenswert eigene Profile für Terminaldienste zu verwenden. Die notwendigen Informationen zum konfigurieren eines speziellen Profils für Terminaldienste findet man unter ändern des Pfades eines Benutzerprofils für Terminaldienste. Der Einsatz von unveränderlichen Profilen kann durchaus eine sinnvolle Angelegenheit sein, muß aber
entsprechend der Umgebung und den Anforderungen vom jeweiligen Adninistrator individuell entschieden werden.
Benutzerkonten können über Lokale Benutzer und Gruppen oder bei Domänen über Active Directory-Benutzer und Computer angelegt werden. Benutzer, die sich bei einer Terminaldienstesitzu im Netzwerk, in dem sich der Server befindet, über ein Benutzerkonto verfügen.
Benutzeranmeldungen sperren
Wenn man die Terminaldiensteverbindungen vorübergehend deaktivieren möchte, um z.B. Wartungsarbeiten durchzuführen, deaktiviert man einfach auf der Registerkarte Remote das Kontrollkästchen Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Wenn man Remoteverbindungen deaktivieret, bleiben trotzdem die Terminaldienste aktiv, es werden aber keine neuen Remoteverbindungen angenommen.
Programme installieren
Man geht bei einem TS immer über Systemsteuerung/Software/Neue Programme hinzufügen.
Soll ein User nur Zugriff auf eine bestimmte Anwendung auf dem Terminalserverbekommen , verwendet man die Option Programm starten, um den Zugriff auf diese Anwendung zu beschränken.
Während der Installation müssen Benutzer abgemeldet sein und Neuanmeldungen deaktiviert sein.
Verbindungsverwaltung für Terminaldienste
Die Verbindungsverwaltung arbeitet Hand in Hand mit dem Lastenausgleichsmanager zusammen, und sorgt dafür daß die User wieder mit demServer verbunden werden, der ihre getrennten Terminalserversitzungen hostet. Die Teminaldienste-Verbindungsverwaltung besteht aus folgenden Komponenten:
Netzwerklastenausgleich mit Domain Name System, Round-Robin oder eine Third Party Lösung)
Mehre Terminalserver, die in einem Servercluster gruppiert sind
Einen Sitzungsverzeichnisserver. Dies kann ein beliebiger Windows Server 2003 Memberserver sein allerdings ist mindestens die Enterprise Edition erforderlich.
Funktionsprinzip:
Meldet sich ein Benutzer am Terminalservercluster anmeldet, sendet der Terminalserver, der die erste Clientanmeldeanforderung erhält, eine Abfrage an den Sitzungsverzeichnisserver.
Der Sitzungsverzeichnisserver überprüft den Benutzernamen in der Datenbank und gibt das Ergenis an den anfragenden Server. Werden keine getrennten Sitzungen gefunden, startet der Anmeldeprozess auf dem Server , der die ursprüngliche Verbindung hostet. Wird eine getrennte Sitzung auf einem anderen Server gefunden wird die Clientsitzung an diesen Server übertragen. Der Sitzungsverzeichnisdienst für Terminaldienste ist eine Datenbank, die Sitzungen auf Terminalservercluster speichert und die notwendigen Informationen bereitstellt, um Benutzer mit vorhandenen Sitzungen zu verbinden. Beim Start wird eine lokale Gruppe der Computer als Sitzungsverzeichnis erstellt. Diese Gruppe ist standardmäßig leer. Es müssen die einzelnen Computer oder Gruppen, die am Sitzungsverzeichnisdienst teilnehmen sollen, manuell hinzugefügt werden.
WMI-Anbieter für Terminaldienste
Der Windows Management Instrumentation für Terminaldienste ermöglicht die Verwendung von Skripts zum Remoteverwalten, -konfigurieren und -bearbeiten von Problemen auf Terminalservern, unter Umgehung der Terminaldiensteprogramme, Befehlszeilenoptionen usw.
Remoteüberwachung von Sitzungen
Administratoren können Terminaldienstesitzungen anzeigen und aktiv eingreifen. Im täglichen Support können Benutzer von einem Remotestandort aus instruiiert werden und Probleme z.B. in Zweigstellen behoben werden, ohne das ein Mitarbeiter vor Ort sein muß.
Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.Man kann einen angemeldeten Clientüberwachen, indem man die Sitzung des Benutzers von einer anderen Sitzung aus remote überwacht. Beim überwachen der Sitzung man über Tastatureingaben und Mausaktionen in die Sitzung eingreifen. An den Client kann eine Meldung gesendet werden.Die Remoteüberwachung kann außerdem mit Gruppenrichtlinien oder über Active Directory-Benutzer und Computer konfiguriert werden.
Eine Konsolensitzung kann andere Sitzungen nicht remote steuern, und eine Clientsitzung kann die Konsolensitzung nicht remote steuern.Außerdem muß die in der remote überwachten Clientsitzung verwendete Videoauflösung unterstützt werden.
Lastenausgleich
TSCM (Terminal Services Connection Management, Terminaldienste-Verbindungsverwaltung), ermöglicht mit Hilfe der Lastenausgleichstechnologie,den Terminaldiensteclients, eine Verbindung mit dem am wenigsten ausgelasteten Terminalserver herzustellen. Sitzungsverzeichnisdienste stellen sicher, dass getrennte Sitzungen erneut mit dem gleichen Server verbunden werden, über den die ursprüngliche Verbindung hergestellt wurde.
Der Lastenausgleich verwendet als Protocoll TCP/IP mit einem Sitzungsverzeichnis das ab der Enterprise Version zur Verfügung steht.
Remotedesktop-Webverbindung
Remotedesktop-Webverbindung ist ein ActiveX-Steuerelement, das die gleichen Funktionen wie der eine Remotedesktop-Verbindung bietet. Der Unterschied ist das diese Funktionen über das Web bereitgestellt wird. Wenn Remotedesktop-Webverbindung in eine Webseite eingebettet ist, kann eine Terminaldienste-Clientsitzung gehostet werden, auch wenn auf einem Benutzercomputer nicht der komplette Client installiert ist.
Getrennte Sitzungen wieder aufnehmen
Standardmäßig ist es möglich eine getrennte Sitzung voneinem beliebigen Client aus wieder aufzunehmen. Dabei kann man den Kreis der Computer und Benutzer nach Wunsch einschränken. Dieses Feature wird nur für Clients unterstützt, die beim Herstellen einer Verbindung eine Seriennummer vergeben (z. B. Citrix ICA-Clients).
MSI-Paket für Clients bereitstellen
Remotedesktopverbindung kann mithilfe von Windows Installer installiert werden. Windows Installer bietet eine schnelle und effiziente Möglicheit für das Bereitstellen von Clientsoftware auf Zielcomputern. Dafür wird entweder eine netzwerkbasierte Freigabestelle oder Microsoft IntelliMirror verwendet.
Informationen zum MSI-Setuppaket für Terminaldiensteclient
Windows-Terminals
Windows-Terminals sind von verschiedenen Herstellern erhältlich, dabei wird auf das RDP (Remote Desktop Protocol) Protokoll zurückgegriffen.
Konsolensitzung
In der Terminaldiensteverwaltung wird die Konsolensitzungals Sitzung 0 geführt. Eine Konsolensitzung ist Sitzung eine physikalischen Systemkonsole des Remotecomputers am Terminalserver, es entspricht effektiv einer lokalen Anmeldung.
Abhörsitzungen
Abhörsitzungen sind für das Abhören und Annehmen neuer RDP-Clientverbindungen verantwortlich, mit denen neue Sitzungen für die Clientanforderungen erstellt werden. Wenn mehr als eine Verbindung in Terminaldienstekonfiguration konfiguriert wird, stehen mehrere Abhörsitzungen zur Verfügung. Die Verwendung der Option Abhörsitzung zurücksetzen führt beim Client zu Datenverlusten.
Leerlaufsitzungen
Leerlaufsitzungen werden angezeigt und können entweder manuell oder automatisch zurückgesetzt werden. In der Standardeinstellung werden zwei Leerlaufsitzungen erstellt. Auch Benutzersitzungen können sich im Leerlauf befinden.
Terminalserverlizenzierung
Mit der Terminalserverlizenzierung verwaltet man Lizenzen und schaltet diese frei.
Aktivieren eines Terminalserver-Lizenzservers
Um einen TS dauerhaft nutzen zu können muß ein Lizenzserver aktiviert werden um die benötigte Anzahl von Clientzugriffslizenzen (CALs) in den Status der Bereitstellung zu bringen.Ein Lizenzserver der installiert ist, aber nicht aktiviertwurde kann nur temporäre Lizenzen erteilen, die nach 90 Tagen ungültig werden.
Das aktivieren des Lizenzserver läuft über Microsoft Clearinghous unter Verwendung der Terminalserverlizenzierung. Beim aktivieren wird ein digitales X.509-Zertifikat ausgestellt , das den Serverbesitz und die Identität bestätigt. Mit diesem Zertifikat kann der Lizenzserver Transaktionen mit dem Clearinghouse ausführen und die Clientlizenzen realisieren. Dabei ist zu beachten das die Lizenzsierungssite (https://activate.microsoft.com) zu den vertrauenswürdigen Sites hinzugefügt wird, sonst scheitert die Verbindung.
In der Praxis stehen 3 verschiedene Varianten der Lizensierung zur Verfügung:
1. Automatisch über den Webbrowser
Das ist die komfortabelste und schnellste Methode. Der Server auf dem die Terminalserverlizenzierung läuft muß mit dem Internet verbunden sein, der Vorgang kann aber von einem beliebigen Client aus erfolgen.
2. Telefonische Aktivierung
Wer über keine Internetverbindung verfügt , kann Microsoft Clearinghouse telefonisch kontaktieren und dadurch eine Kennungsnummer zur Aktivierung des Lizenzservers erhalten.
3. Erneutes installieren von CALs
-Terminalserverlizenzierung öffnen
-In der Konsolenstruktur mit der rechten Maustaste auf den Terminalserver-Lizenzserver klicken, unter Erweitert, findet man Letzte Installation wiederholen, danach startet der Assistent.
Im Dialog Erforderliche Information sollte man die Informationen nochmals überprüfen, danach mit weiter senden.
Terminaldiensteverwaltung
Mit der Terminaldiensteverwaltung lassen sich Informationen über Terminalserver in vertrauenswürdigen Domänen anzeigen, und Benutzer,Sitzungen und Anwendungen überwachen und administrieren. Wenn z.B. ein Benutzer eine Sitzung eröffnet , wird diese in der Liste Sitzungen angezeigt. Außerdem wird der Name des Benutzers, der sich angemeldet hat, in der Liste der Benutzer angezeigt. Jede Anwendung, die während der Sitzung vom Benutzer ausgeführt wird, kann in der Liste Prozesse überwacht werden. Mit der Terminaldiensteverwaltung können über ein Menü Aktionen durchgeführt werden.
Remotedesktop für Verwaltung:
Dieses Feature ermöglicht die Remoteverwaltung für Betriebssysteme der Windows Server 2003-Produktfamilie. Systemadministratoren erhalten so eine Methode für die Remoteverwaltung ihres Servers von einem beliebigen Client aus über eine LAN-, WAN- oder DFÜ-Verbindung. Bis zu zwei Remotesitzungen plus die Konsolensitzungen kann gleichzeitig genutzt werden. Terminalserverlizenzierung ist für die Verwendung dieser Funktion nicht erforderlich.
Remotedesktop für Verwaltung wird bei der Installation von Server 2003 automatisch mitinstalliert, muß aber noch aktiviert werden. Um dieses Feature zu nutzen geht man über Systemsteuerung/System und aktiviert auf Registerkarte Remote das Kontrollkästchen Remotedesktop auf diesem Computer aktivieren.
Unterstützung von DFS (Distributed File System)
Durch Unterstützung von DFS können Benutzer eine Verbindung zu einer DFS-Freigabe herstellen, und Administratoren können als Hosts eine DFS-Freigabe von einem Terminalserver aus verwalten.
Ein Terminalserver ist nichts anderes als ein Computer (Server) auf dem Terminaldienste installiert sind.
Terminaldienste stellen den Remotezugriff auf einen Windows-Desktop mithilfe von "Thin Client"-Software sicher, über die der Client als Terminalemulator fungieren kann. Mit dieser Technik wird lediglich die Benutzeroberfläche des Programms an den Client gesendet. Der Client gibt die vom Server zu verarbeitenden Tastatureingaben und Mausklicks zurück. Für den Benutzer zeigt sich nach der Anmeldung lediglich die eigene Sitzung, die vom Betriebssystem des Servers verwaltet und unabhängig von anderen Clientsitzungen ausgeführt wird. Für den User scheint es im Prinzip genau so als würde er auf einem lokalen PC arbeiten. Die Benutzer können Programme ausführen, Dateien speichern und Netzwerkressourcen genauso verwenden, als befänden sie sich direkt am betreffenden Computer. Die Clientsoftware kann auf verschiedener Hardware ausgeführt werden, wie zb. PCs und Terminals, dabei spielt es keine Rolle ob mit welchen Betriebssystem (DOS, Unix, Macintosh...) der Client bootet, Hauptsache er kann sich mit dem TS verbinden.Terminaldienste sind im Windows Server 2003 bereits enthalten
Vorteile:
Mit einem Terminalserver läßt sich Software schnell und effektiv im Netzwerk verteilen, da diese nur einmal installiert werden muß, insbesondere bei häufigen updates ist dies eine Überlegung wert. Besonders bei teurer Software kann die einmalige Installation auf einem TS unter dem Strich wesentlich kostengünstiger kommen kann. Die Installationsprozedur die bei einem PC notwendig ist, entfällt, daher ist ein Arbeitsplatz mit einem Terminalserver-Client schneller einsatzfähig. Durch die implementierte Funktion Remotedesktop für Verwaltung kann der Server vom Administrator komfortabel und effektiv von jedem Computer aus im Netzwerk administriert werden. Die vorhandene Hardware kann länger genutzt werden, da der Client die Rechenpower des TS nutzt.
Anmeldung am Terminalserver
Die Anmeldung umfasst unter anderem des Funktionen, mit denen Kennwörter geändert und Sperren bei Desktops und Bildschirmschonern aufgehoben werden können. Der verschlüsselte Anmeldevorgang gewährleistet die sichere Übertragung von Kenwörtern. Administratoren können Anmeldeversuche und die Verbindungsdauer beschränken.
Anmelden mit Smartcards
Smartcards bieten eine sehr sichere Möglichkeit, sich an einem Client anzumelden.Um sich mit einer Smartcard an einem Netzwerk anzumelden muß man sowohl im Besitz der Smartcard sein als auch über eine persönliche PIN verfügen. Durch die Smartcard wird dem Terminalserver die Identität bestätigt und auch der Zugriff auf Programme ermöglicht. Das ganze wird über einen Dienst abgewickelt der aktiviert sein muß.
Verbindungen konfigurieren
Verbindungseinstellungen können geändert und Verbindungsinformation gespeichert werden. Das alte Programm Terminaldiensteclient-Verbindungs-Manager wird nicht mehr benötigt, es können aber abgespeicherte Verbindungen weiter verwendet werden. Die Dateien können im Ordner Eigene Dateien abgespeichert werden. Zum vereinfachen der Herstellung einer Verbindung zu Terminaldienste sind vorkonfigurierte Verbindungsdateien für Benutzer ein probates Mittel. vorkonfigurierte Verbindungsdateien werden mithilfe von Remotedesktopverbindung erstellt. Für jeden Netzwerkadapter kann nur eine RDP-Verbindung konfiguriert werden. Für zusätzliche RDP-Verbindungen müssen weitere Netzwerkadapter installiert werden.
Im Registereiter Allgemein können die Verbindungs und Anmeldeeinstellungen konfiguriert werden. Vorsicht ist bei der Option Kennwort speichern geboten, da diese zum Sicherheitsrisiko werden kann.
Unter Anzeige wird die Darstellung des Remotedesktops geregelt.
Dieser Registerreiter macht die Terminalverbindung fast zur lokalen Maschine. Die Clients verwenen jeder eine seperate Sitzung auf dem Server, die über TCP/IP und dem Port 3389 geht.
Es muss auch noch die Sicherheitseinstellung des RDP Protokols angepasst werden.(Verwaltung/Terminaldienstekonfiguration/Verbindungen)
Der Client ist unter systemroot\System32\Clients\Tsclient\win32 zu finden oder auf der Installations CD, und kann für Windows 2000/NT ebenso verwendet werden.
Automatisierte lokale Druckerunterstützung
Mithilfe von Terminaldienste können Drucker den Terminaldiensteclients hinzugefügt und automatisch erneut mit diesen verbunden werden.
Laufwerk- und Dateisystemumleitung
Die Benutzer können ihre lokalen Laufwerke nutzen , während sie am Terminalserver angemeldet sind. Im Explorer werden die lokalen Laufwerke der Benutzer im Sitzungsordnerverzeichnis mit der Syntax Laufwerkbuchstabe auf Client xy verwaltet. Den Zugriff auf lokale Laufwerke kann man auch in der Befehlszeile/Ausführungszeile einer Remotesitzung anwenden, die Syntax ist: \\tsclient\ Laufwerkbuchstabe. Dabei wird der Laufwerkbuchstabe ohne Doppelpunkt angegeben. Die automatische Laufwerkzuordnung ist bei Verbindungen mit einem Terminalserver unter Windows 2000 oder einer früheren Version nicht verfügbar.
Audio-Umleitung
Die Benutzer eines Terminalservers können die Audio Ausgabe des TS auf den Client legen.
Umleitung über die Zwischenablage
Es ist möglich, Daten zwischen den Programmen auf dem lokalen Computer und dem Terminalserver über Cut & Paste (Copy) auszutauschen. Gerade beim zwischenspeichern hat sich die Performance zu den Vorgängern erheblich verbessert.
In den erweiterten Optionen werden noch diverse Einstellungen wie z.B. die Verbindungsgeschwindigkeit angeboten.
Terminalserver - Konfiguration
Konfiguration des Terminal Server:
Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.
Unterstützung für servergespeicherte Trennvorgänge
Dieses Feature erlaubt Benutzern die Verbindung zu einer Sitzung zu trennen, ohne sich abzumelden. Eine Sitzung kann trotz getrennter Verbindung aktiv bleiben. Der Vorteil dabei ist daß die Verbindung zur aktiven Sitzung auch von einem anderen Computer aus oder zu einem späteren Zeitpunkt wiederherstellt werden kann . Für das Wiederaufnehmen der Verbindung ist eine Anmeldung erforderlich.
Unterstützung mehrfacher Anmeldungen
Benutzer können sich mehrfach anmelden, das bezieht sich sowohl auf mehrere Sitzungen, wie auch an mehreren Clients gleichzeitig.
Limits festlegen
Es kann sinnvoll sein die Dauer/Leerlauf von Clientverbindungen einzuschränken bzw. festzulegen wie lange eine getrennte Verbindung auf dem Server aktiv bleiben soll. Auch hier ist die Erfahrung des Administrators gefragt, da es keine allgemein gültigen Empfehlungen geben kann.
Die Sitzungslimits können außer mit der Erweiterung Terminaldienste für Lokale Benutzer und Gruppen auch über Active Directory-Benutzer und -Computer für einzelne Benutzer konfiguriert werden.
Terminaldienste als Erweiterung in Active Directory einbauen
Dazu öffnet man eine mmc mit dem Snap in Active Directory-Benutzer und -Computer.
Dann fügt man ein eigenständiges Snap-in hinzu und wählt als Erweiterung die Terminaldienste-Erweiterung.
Sicherheitsmodi festlegen
Terminalserver kann wahlweise in zwei Sicherheitsmodi ausgeführt werden:
Vollständige Sicherheit
Diese Option wählt man um die neuen Sicherheitsfunktionen unter Betriebssystemen der Windows Server 2003-Produktfamilie nutzen zu können und um die größtmögliche Sicherheitsumgebung für den Terminalserver zu gewährleisten.
Niedrige Sicherheit
Diese Option lässt den Zugriff auf die Systemregistrierung zu. So können die meisten älteren Anwendungen genauso wie unter Windows 2000 Terminal Server Edition ausgeführt werden.
Verschlüsselung für Terminalserver
Terminaldienste verfügt über vier verschiedene Stufen der Verschlüsselung
Hoch
Standardmäßig sind Terminaldiensteverbindungen mit der Verschlüsselung Hoch (128-Bit) verschlüsselt.
FIPS Konform
Die Stufe FIPS-konform verschlüsselt und entschlüsselt Daten in beide Richtungen. Die Verschlüsselung erfolgt mit den Verschlüsselungsalgorithmen des FIPS (Federal Information Processing Standard) unter Verwendung der Microsoft-Kryptografiemodule. Wenn die FIPS Verschlüsselung bereits über die Gruppenrichtline Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktiviert wurde, kann dies nicht in der Terminaldienstekonfiguration geändert werden.
Clientkompatibel
Für ältere Clients, die nur niedrige Verschlüsselungsstufen unterstützen, können Administratoren die Verschlüsselungsstufe Clientkompatibel festlegen.
Niedrig
Auf der Stufe Niedrig werden Daten, die vom Client an den Server gesendet werden, unter Verwendung der 56-Bit-Verschlüsselung verschlüsselt.
Daten, die vom Server an den Client gesendet werden, werden nicht verschlüsselt.
Berechtigungen für Verbindungen festlegen
Mit Berechtigungen wird eingestellt wie Benutzer/Gruppen auf einen Terminalserver zugreifen können. Terminaldiensteberechtigungen lassen sich leicht für einzelne Computer verwalten. Dazu werden die Benutzergruppe Remotedesktopbenutzer und das Recht RemoteInteractiveLogon verwendet. Normalerweise benötigt man dieses Feature nicht, es kann in Einzelfällen aber notwendig sein Berechtigungen auf Verbindungsbasis zu verwalten.
Gruppenrichtlinien für Terminaldienste
Eine bevorzugte Verwaltungs und Konfigurationsmöglichkeit ist das arbeiten mit Policies.
Da ein Terminalserver eine Sonderstellung hat ist der Einsatz des Loopback Modus ratsam, was dem TS den Vorrang vor den Richtlinien des Users einräumt.
Im Normallfall reicht die Einstellung Zusammenführen, die erst die Benutzerrichtlinien und dann die Richtlinien des TS lädt. Wer ausschließlich die Computerrichtlinien anwenden will der wählt den Modus Ersetzen.
Um den Administrator vor der Auswirkung zu schützen muß in den Sicherheitseinstellungen die Gruppe Authentifizierte Benutzer entfernt werden und dafür eine alternative Gruppe (z.B. Terminalserver User) in der keine Administratoren enthalten sind hinzufügen.
Bei dieser Gruppe reichen als Rechte Gruppenrichtlinien anwenden und lesen aus.
In der OU-Terminalserver wird eine Policy angewandt die im Loopbackmodus arbeitet. Die Benutzereinstellungen werden sehr restriktiv eingestellt, dabei ist es unerheblich ob sich in der OU Terminalserver ein Userkonto befindet. Melden sich User an einem Server der OU-Terminalserver an, wirken wegen des Loopbackmodus die Einstellungen, die in der OU-Terminalserver definiert sind, die anderen Policies sind nachrangig.
Beim Einsatz von Servergespeicherten Profilen sollte man die Gruppe der Administratoren auf das Profil des Benutzers den Zugriff ermöglichen, was über diese Richtlinie ermöglicht wird: Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile
Sicherheitsgruppe Administratoren zu servergespeicherten Benutzerprofilen hinzufügen
Auswirkung des Loopbackverarbeitungsmodus auf den Administrator verhindern
Das Problem ist, daß sich Policies auf alle Benutzer auswirken , die sich am TS anmelden. Um diesen Mechanismus zu umgehen muß man mit Sicherheitsberechtigungen arbeiten. Man packt zuerst die Terminal-Server User in die OU, in den den Sicherheitseinstellungen der Richtlinie entfernt man die Authentifizierten Benutzer und filtert die Richtlinien nur auf die Terminal Server User, das Recht Lesen und Gruppenrichtlinien übernehmen reicht dabei aus.Administratoren und System wird die Übernahme der Gruppenrichtlinie verweigert. Alternativ kann man auch das Computerkonto des Terminalservers über eine OU konfigurieren.
Tip: Gruppenrichtlinien für Terminalserver werden erst ab Windows Server 2003 unterstützt
Welche Richtlinien man verwendet muß immer individuell entschieden werden, hier ein Vorschlag von
Gruppenrichtlinien.de:
[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer
[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen
[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
Terminalserver - Features
Terminaldienstekonfiguration
Terminaldienstekonfiguration ermöglicht das Erstellen, Ändern, Konfigurieren und Löschen von RDP-Verbindungen .
Integration in Lokale Benutzer, Gruppen und AD
Benutzerkonten für Terminaldienste werden genau wie Benutzerkonten für Windows Server 2003 erstellt Für die Angabe spezifischer Terminaldiensteinformationen stehen noch zusätzliche Optionen zur Verfügung.
Systemmonitor für Terminalserver
Durch die Integration mit dem Systemmonitor können Systemleistung, Prozessorauslastung, Speicherbelegung und Verwendung des ausgelagerten Speichers überwacht werden.
Nachrichtenübermittlung
Meldungen an Benutzer/Clients werden ebenso unterstützt
Remotedesktop für Verwaltung
Jeder Administrator hat Zugriff auf die Verwaltungsdienstprogramme für Terminaldienste.Diese Funktionalität wird standardmäßig installiert.
Für die Remoteverwaltung des Servers ist keine Installation von Terminalserver erforderlich. Um Remotedesktop für Verwaltung verwenden zu können, muß man die Remoteverbindungen aktivieren.
Zeitlimits für Sitzungen
Es können fein abgestimmte Zeitlimits für Sitzungen konfiguriet werden. z.B. Dauer einer aktiven Sitzung, Leerlaufzeit usw.)
Erweiterungen für Active Directory
Für AD Benutzer, Computer und Lokale Benutzer und Gruppen können diverse Einstellungen und Rechte angewandt werden. (z.B. Festlegen des Pfades für das Terminaldienste-Benutzerprofil, Aktivieren oder Deaktivieren von Anmeldungen, Festlegen von Zeitlimits für Sitzungen, Festlegen, wann eine unterbrochene Verbindung getrennt oder wiederhergestellt wird, Aktivieren oder Deaktivieren der Remotesteuerung, Angeben eines Programms, das bei der Anmeldung ausgeführt wird, Verbinden von Clientlaufwerken und -druckern bei der Anmeldung).
Drucken auf lokalen Druckern über die Remotesitzung
Die Druckerumleitung leitet Druckaufträge vom Terminalserver oder Remotedesktopcomputer zu einem Drucker, der mit dem lokalen Computer verbunden ist. Es gibt eine automatische und manuelle Druckerumleitung. Man sollte die manuelle Umleitung verwenden , wenn der lokale Drucker einen Treiber benötigt, der auf dem Remotecomputer nicht verfügbar ist. Die manuelle Umleitung funktioniert nur bei COM oder LPT Anschlüssen, USB wird nicht unterstützt. Die automatische Druckerumleitung verwendet man, wenn der lokale Drucker einen auf dem Server installierten Treiber verwendet. Wenn man sich an einem 2003er Terminalserver anmeldet, der Windows XP Pro verwendet , werden alle auf dem Clientcomputer installierten Drucker und Netzwerkdrucker automatisch erkannt. Auf dem Server wird eine lokale Warteschlange erstellt. Die Druckereinstellungen des Clientcomputers für den Standarddrucker werden vom Server verwendet. Beim trennen oder beenden von Sitzungen , wird die Druckerwarteschlange gelöscht. Um den Drucker zur nutzen zu können , muß der Treiber manuell auf dem Server installiert werden. Um Clientdrucker bei der Anmeldung zu verbinden geht man über Active Directory-Benutzer und -Computer und aktiviert im Benutzerkonto auf der Registerkarte Umgebung unter Clientgeräte das Kontrollkästchen Beim Anmelden Verbindung zu Clientdruckern herstellen.
Benutzerverwaltung für Terminalserver-Benutzer
Man sollte aus Gründen der besseren Administration immer mit Benutzergruppen arbeiten, niemals mit Benutzern.
Windows Server 2003 enthält standardmäßig bereits die Benutzergruppe Remotedesktopbenutzer, die speziell für die Verwaltung von Benutzern von Terminalserver gedacht ist.
Es ist sehr empfehlenswert eigene Profile für Terminaldienste zu verwenden. Die notwendigen Informationen zum konfigurieren eines speziellen Profils für Terminaldienste findet man unter ändern des Pfades eines Benutzerprofils für Terminaldienste. Der Einsatz von unveränderlichen Profilen kann durchaus eine sinnvolle Angelegenheit sein, muß aber
entsprechend der Umgebung und den Anforderungen vom jeweiligen Adninistrator individuell entschieden werden.
Benutzerkonten können über Lokale Benutzer und Gruppen oder bei Domänen über Active Directory-Benutzer und Computer angelegt werden. Benutzer, die sich bei einer Terminaldienstesitzu im Netzwerk, in dem sich der Server befindet, über ein Benutzerkonto verfügen.
Benutzeranmeldungen sperren
Wenn man die Terminaldiensteverbindungen vorübergehend deaktivieren möchte, um z.B. Wartungsarbeiten durchzuführen, deaktiviert man einfach auf der Registerkarte Remote das Kontrollkästchen Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Wenn man Remoteverbindungen deaktivieret, bleiben trotzdem die Terminaldienste aktiv, es werden aber keine neuen Remoteverbindungen angenommen.
Programme installieren
Man geht bei einem TS immer über Systemsteuerung/Software/Neue Programme hinzufügen.
Soll ein User nur Zugriff auf eine bestimmte Anwendung auf dem Terminalserverbekommen , verwendet man die Option Programm starten, um den Zugriff auf diese Anwendung zu beschränken.
Während der Installation müssen Benutzer abgemeldet sein und Neuanmeldungen deaktiviert sein.
Verbindungsverwaltung für Terminaldienste
Die Verbindungsverwaltung arbeitet Hand in Hand mit dem Lastenausgleichsmanager zusammen, und sorgt dafür daß die User wieder mit demServer verbunden werden, der ihre getrennten Terminalserversitzungen hostet. Die Teminaldienste-Verbindungsverwaltung besteht aus folgenden Komponenten:
Netzwerklastenausgleich mit Domain Name System, Round-Robin oder eine Third Party Lösung)
Mehre Terminalserver, die in einem Servercluster gruppiert sind
Einen Sitzungsverzeichnisserver. Dies kann ein beliebiger Windows Server 2003 Memberserver sein allerdings ist mindestens die Enterprise Edition erforderlich.
Funktionsprinzip:
Meldet sich ein Benutzer am Terminalservercluster anmeldet, sendet der Terminalserver, der die erste Clientanmeldeanforderung erhält, eine Abfrage an den Sitzungsverzeichnisserver.
Der Sitzungsverzeichnisserver überprüft den Benutzernamen in der Datenbank und gibt das Ergenis an den anfragenden Server. Werden keine getrennten Sitzungen gefunden, startet der Anmeldeprozess auf dem Server , der die ursprüngliche Verbindung hostet. Wird eine getrennte Sitzung auf einem anderen Server gefunden wird die Clientsitzung an diesen Server übertragen. Der Sitzungsverzeichnisdienst für Terminaldienste ist eine Datenbank, die Sitzungen auf Terminalservercluster speichert und die notwendigen Informationen bereitstellt, um Benutzer mit vorhandenen Sitzungen zu verbinden. Beim Start wird eine lokale Gruppe der Computer als Sitzungsverzeichnis erstellt. Diese Gruppe ist standardmäßig leer. Es müssen die einzelnen Computer oder Gruppen, die am Sitzungsverzeichnisdienst teilnehmen sollen, manuell hinzugefügt werden.
WMI-Anbieter für Terminaldienste
Der Windows Management Instrumentation für Terminaldienste ermöglicht die Verwendung von Skripts zum Remoteverwalten, -konfigurieren und -bearbeiten von Problemen auf Terminalservern, unter Umgehung der Terminaldiensteprogramme, Befehlszeilenoptionen usw.
Remoteüberwachung von Sitzungen
Administratoren können Terminaldienstesitzungen anzeigen und aktiv eingreifen. Im täglichen Support können Benutzer von einem Remotestandort aus instruiiert werden und Probleme z.B. in Zweigstellen behoben werden, ohne das ein Mitarbeiter vor Ort sein muß.
Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.Man kann einen angemeldeten Clientüberwachen, indem man die Sitzung des Benutzers von einer anderen Sitzung aus remote überwacht. Beim überwachen der Sitzung man über Tastatureingaben und Mausaktionen in die Sitzung eingreifen. An den Client kann eine Meldung gesendet werden.Die Remoteüberwachung kann außerdem mit Gruppenrichtlinien oder über Active Directory-Benutzer und Computer konfiguriert werden.
Eine Konsolensitzung kann andere Sitzungen nicht remote steuern, und eine Clientsitzung kann die Konsolensitzung nicht remote steuern.Außerdem muß die in der remote überwachten Clientsitzung verwendete Videoauflösung unterstützt werden.
Lastenausgleich
TSCM (Terminal Services Connection Management, Terminaldienste-Verbindungsverwaltung), ermöglicht mit Hilfe der Lastenausgleichstechnologie,den Terminaldiensteclients, eine Verbindung mit dem am wenigsten ausgelasteten Terminalserver herzustellen. Sitzungsverzeichnisdienste stellen sicher, dass getrennte Sitzungen erneut mit dem gleichen Server verbunden werden, über den die ursprüngliche Verbindung hergestellt wurde.
Der Lastenausgleich verwendet als Protocoll TCP/IP mit einem Sitzungsverzeichnis das ab der Enterprise Version zur Verfügung steht.
Remotedesktop-Webverbindung
Remotedesktop-Webverbindung ist ein ActiveX-Steuerelement, das die gleichen Funktionen wie der eine Remotedesktop-Verbindung bietet. Der Unterschied ist das diese Funktionen über das Web bereitgestellt wird. Wenn Remotedesktop-Webverbindung in eine Webseite eingebettet ist, kann eine Terminaldienste-Clientsitzung gehostet werden, auch wenn auf einem Benutzercomputer nicht der komplette Client installiert ist.
Getrennte Sitzungen wieder aufnehmen
Standardmäßig ist es möglich eine getrennte Sitzung voneinem beliebigen Client aus wieder aufzunehmen. Dabei kann man den Kreis der Computer und Benutzer nach Wunsch einschränken. Dieses Feature wird nur für Clients unterstützt, die beim Herstellen einer Verbindung eine Seriennummer vergeben (z. B. Citrix ICA-Clients).
MSI-Paket für Clients bereitstellen
Remotedesktopverbindung kann mithilfe von Windows Installer installiert werden. Windows Installer bietet eine schnelle und effiziente Möglicheit für das Bereitstellen von Clientsoftware auf Zielcomputern. Dafür wird entweder eine netzwerkbasierte Freigabestelle oder Microsoft IntelliMirror verwendet.
Informationen zum MSI-Setuppaket für Terminaldiensteclient
Windows-Terminals
Windows-Terminals sind von verschiedenen Herstellern erhältlich, dabei wird auf das RDP (Remote Desktop Protocol) Protokoll zurückgegriffen.
Konsolensitzung
In der Terminaldiensteverwaltung wird die Konsolensitzungals Sitzung 0 geführt. Eine Konsolensitzung ist Sitzung eine physikalischen Systemkonsole des Remotecomputers am Terminalserver, es entspricht effektiv einer lokalen Anmeldung.
Abhörsitzungen
Abhörsitzungen sind für das Abhören und Annehmen neuer RDP-Clientverbindungen verantwortlich, mit denen neue Sitzungen für die Clientanforderungen erstellt werden. Wenn mehr als eine Verbindung in Terminaldienstekonfiguration konfiguriert wird, stehen mehrere Abhörsitzungen zur Verfügung. Die Verwendung der Option Abhörsitzung zurücksetzen führt beim Client zu Datenverlusten.
Leerlaufsitzungen
Leerlaufsitzungen werden angezeigt und können entweder manuell oder automatisch zurückgesetzt werden. In der Standardeinstellung werden zwei Leerlaufsitzungen erstellt. Auch Benutzersitzungen können sich im Leerlauf befinden.
Terminalserverlizenzierung
Mit der Terminalserverlizenzierung verwaltet man Lizenzen und schaltet diese frei.
Aktivieren eines Terminalserver-Lizenzservers
Um einen TS dauerhaft nutzen zu können muß ein Lizenzserver aktiviert werden um die benötigte Anzahl von Clientzugriffslizenzen (CALs) in den Status der Bereitstellung zu bringen.Ein Lizenzserver der installiert ist, aber nicht aktiviertwurde kann nur temporäre Lizenzen erteilen, die nach 90 Tagen ungültig werden.
Das aktivieren des Lizenzserver läuft über Microsoft Clearinghous unter Verwendung der Terminalserverlizenzierung. Beim aktivieren wird ein digitales X.509-Zertifikat ausgestellt , das den Serverbesitz und die Identität bestätigt. Mit diesem Zertifikat kann der Lizenzserver Transaktionen mit dem Clearinghouse ausführen und die Clientlizenzen realisieren. Dabei ist zu beachten das die Lizenzsierungssite (https://activate.microsoft.com) zu den vertrauenswürdigen Sites hinzugefügt wird, sonst scheitert die Verbindung.
In der Praxis stehen 3 verschiedene Varianten der Lizensierung zur Verfügung:
1. Automatisch über den Webbrowser
Das ist die komfortabelste und schnellste Methode. Der Server auf dem die Terminalserverlizenzierung läuft muß mit dem Internet verbunden sein, der Vorgang kann aber von einem beliebigen Client aus erfolgen.
2. Telefonische Aktivierung
Wer über keine Internetverbindung verfügt , kann Microsoft Clearinghouse telefonisch kontaktieren und dadurch eine Kennungsnummer zur Aktivierung des Lizenzservers erhalten.
3. Erneutes installieren von CALs
-Terminalserverlizenzierung öffnen
-In der Konsolenstruktur mit der rechten Maustaste auf den Terminalserver-Lizenzserver klicken, unter Erweitert, findet man Letzte Installation wiederholen, danach startet der Assistent.
Im Dialog Erforderliche Information sollte man die Informationen nochmals überprüfen, danach mit weiter senden.
Terminaldiensteverwaltung
Mit der Terminaldiensteverwaltung lassen sich Informationen über Terminalserver in vertrauenswürdigen Domänen anzeigen, und Benutzer,Sitzungen und Anwendungen überwachen und administrieren. Wenn z.B. ein Benutzer eine Sitzung eröffnet , wird diese in der Liste Sitzungen angezeigt. Außerdem wird der Name des Benutzers, der sich angemeldet hat, in der Liste der Benutzer angezeigt. Jede Anwendung, die während der Sitzung vom Benutzer ausgeführt wird, kann in der Liste Prozesse überwacht werden. Mit der Terminaldiensteverwaltung können über ein Menü Aktionen durchgeführt werden.
Remotedesktop für Verwaltung:
Dieses Feature ermöglicht die Remoteverwaltung für Betriebssysteme der Windows Server 2003-Produktfamilie. Systemadministratoren erhalten so eine Methode für die Remoteverwaltung ihres Servers von einem beliebigen Client aus über eine LAN-, WAN- oder DFÜ-Verbindung. Bis zu zwei Remotesitzungen plus die Konsolensitzungen kann gleichzeitig genutzt werden. Terminalserverlizenzierung ist für die Verwendung dieser Funktion nicht erforderlich.
Remotedesktop für Verwaltung wird bei der Installation von Server 2003 automatisch mitinstalliert, muß aber noch aktiviert werden. Um dieses Feature zu nutzen geht man über Systemsteuerung/System und aktiviert auf Registerkarte Remote das Kontrollkästchen Remotedesktop auf diesem Computer aktivieren.
Unterstützung von DFS (Distributed File System)
Durch Unterstützung von DFS können Benutzer eine Verbindung zu einer DFS-Freigabe herstellen, und Administratoren können als Hosts eine DFS-Freigabe von einem Terminalserver aus verwalten.
Ähnliche Beiträge
- Fehlermeldungen: Keine Verbindung mit Windows 2000 DC
- Installation: Fileserver Von NT/2000 auf 2003 migrieren
- Installation: Migration auf Windows Server 2003 R2 schlägt fehl
- Installation: Windows Deployment Services
- Installation: Windows Server 2003 R2 Installation