У WS2K3 ви можете централізовано настроювати і управляти всіма параметрами Terminal Services за допомогою групових політик:
Доступ до параметрів користувача через ADSI
У Win2K з командою рядка для об'єкта користувача був доступний єдиний атрибут - Terminal Services Profile Path; для доступу до інших атрибутів потрібний TSPROF. WS2K3 надала доступ до всіх атрибутів через ADSI. Використовуючи Windows Script Host (WSH) і ваш улюблений скриптова мова, ви можете легко конфігурувати для користувача термінальні налаштування. Ось список доступних атрибутів:
objUser.ConnectClientDrivesAtLogon
objUser.ConnectClientPrintersAtLogon
objUser.DefaultToMainPrinter
objUser.TerminalServicesInitialProgram
objUser.TerminalServicesWorkDirectory
objUser.TerminalServicesProfilePath
objUser.TerminalServicesHomeDirectory
objUser.TerminalServicesHomeDrive
objUser.AllowLogon
objUser.MaxDisconnectionTime
objUser.MaxConnectionTime
objUser.MaxIdleTime
objUser.BrokenConnectionAction
objUser.ReconnectionAction
Каталог сеансів
При використанні в якості термінального сервера WS2K3 Enterprise Edition в середовищі з балансуванням навантаження, ви можете використовувати нову службу Session Directory для надання єдиної точки входу в ферму термінальних серверів. Session Directory виступає не тільки в ролі розподільника нагурзкі, але також підтримує базу даних активних сеансів у фермі. Це дозволяє користувачеві відновити роз'єднаний сеанс на тому ж сервері, від якого він відключився. [16]
2.2 Ліцензування термінальних служб
Щоб термінальний сервер продовжував приймати з'єднання після закінчення 120 днів, ви повинні сконіфгуріровать Terminal Services Licensing. WS2K3 додає нові опції і нові рівні складності до ліцензування Terminal Services. Для підключення до WS2K3 клієнтам понядобятся нові маркери ліцензій WS2K3. Ці маркери (tokens) видаються тільки сервером WS2K3 Terminal Services License - сервери ліцензій Win2K не можуть видавати нові маркери WS2K3. Тому якщо у вашому середовищі вже є сервер ліцензій Win2K, вам потрібно якомога швидше оновити його до WS2K3 або активувати окремий сервер ліцензій WS2K3. [17]
Ліцензування Terminal Services включає в себе Microsoft Clearinghouse, один або декілька серверів WS2K3 Terminal Services Licensing і один або кілька термінальних серверів. Ви використовуєте Microsoft Clearinghouse (через інтернет, Web або по телефону) для активування серверів ліцензій і для отримання пакетів ліцензій, які встановлюються на серверах ліцензування.
Сервер Terminal Services Licensing може бути сервером WS2K3 будь-якій редакції з інстальованої службою Terminal Services Licensing. Terminal Services Licensing зберігає всі маркери CAL і стежить за маркерами, які були видані комп'ютерам або користувачам. Всі термінальні сервери повинні мати можливість зв'язатися з сервером Terminal Services Licensing для видачі постійних маркерів. Якщо сервер ліцензування не активований, він буде видавати тільки тимчасові ліцензії.
Термінальний сервер - це сервер WS2K3 будь-якій редакції з інстальованої роллю Terminal Server. При підключенні клієнта до термінального сервера, сервер визначає, чи треба видати клієнту маркер ліцензії. Якщо так, то він звертається до сервера ліцензій і запитує у того маркер від імені клієнта, а потім передає маркер клієнту. При першому підключенні клієнта, якщо використовується модель ліцензування "на пристрій" (per-device), клієнт отримує тимчасовий маркер. Тимчасові ліцензії зберігаються на сервері Terminal Services Licensing протягом 90 днів. Тільки при другому підключенні (протягом 90 днів) для влаштування видається постійна ліцензія.
Термін "постійна" не зовсім правильний, оскільки ліцензія на пристрій спливає через випадкове число днів (від 52 до 89). Це зроблено для того, що якщо пристрій більше не використовується для доступу до термінального сервера (або переінстальована ОС), ліцензія повертається назад. Вперше це реалізовано в Win2K Service Pack 3 (SP3).
WS2K3 Terminal Services Licensing може підтримувати сім типів маркерів ліцензій. Крім CAL, необхідних для підключення до термінальних серверів Win2K, є чотири нових типу CAL, специфічних для WS2K3 Terminal Services
Вбудованих ліцензій для WS2K3 Terminal Services більше не існує. Вам необхідно купувати CAL для всіх пристроїв або користувачів, подключющіхся до таких серверів, незалежно від операційної системи клієнта. [18]
· WS2K3 Terminal Server Device CAL - Ці ліцензії запитуються у сервера ліцензій термінальними серверів WS2K3, ліцензовані в режимі "Per Device"
· WS2K3 Terminal Server User CAL - Для термінальних серверів WS2K3, ліцензованих в режимі "Per User"
· Ліцензії WS2K3 Terminal Server External Connector - Ці ліцензії дозволяють необмежене число з'єднань зовнішніх користувачів до термінального сервера. Ці ліцензії ще не доступні.
· Win2K Terminal Services CAL - Термінальні сервери Win2K запитують ці ліцензії у сервера ліцензій для клієнтів, що здійснюють ОС, відмінну від Win2K Professional або Windows XP. Ці ліцензії потрібні тільки якщо у вас є сервери Win2K.
· Ліцензії Win2K Terminal Services Internet Connector - Ці ліцензії дозволяють до 200 одночасних з'єднань до термінального сервера Win2K через інтернет для не-співробітників вашої організації.
· Вбудовані ліцензії Win2K - Клієнти, які виконують Win2K Pro або Windows XP отримують маркер ліцензії з вбудованого пулу маркерів ліцензій при підключенні до термінального сервера Win2K.
На наступному малюнку показані ліцензії, доступні в Terminal Server Licensing. Зверніть увагу, що ліцензії для користувачів обробляються окремо від ліцнзій для пристроїв. Користувальницькі ліцензії - нові в WS2K3. Тепер термінальні сервери можна перевести в режим ліцензування Per Device чи Per User. Один сервер Terminal Services Licensing може обслуговувати різні маркери в будь-якій комбінації, якщо встановлені відповідні ліцензії. [19]
Якщо у вас кілька серверів, то Terminal Server Licensing слід встановити на сервері, відмінному від термінального. Якщо ви використовуєте домени, то повинні встановити службу ліцензування на контролері домену.
Для установки Terminal Server Licensing, відкрийте в панелі керування апплет Add / Remove Programs, виберіть Add / Remove Windows Components. У майстрі установки компонентів виберіть Terminal Server Licensing.
Якщо ви встановлюєте Terminal Server Licensing на сервер в AD, ви можете вибрати один з варіантів установки: Domain / Workgroup і Enterprise. Ці режими визначають, як служба ліцензування буде сповіщати про себе для термінальних серверів. Якщо ви знаходитесь в робочій групі або домені, відмінному від AD, опція Enterprise буде недоступна.
Я поясню процес виявлення в наступному розділі, а поки ви повинні зрозуміти, що сервер ліцензування Enterprise буде виявлятися термінальними серверами з будь-якого довірчого домену, але тільки в межах того ж сайту AD, що і сервер ліцензування. [20]
Після установки Terminal Server Licensing, сервер ліцензування необхідно активувати, звернувшись в Microsoft Clearinghouse. Запустіть утиліту адміністрування Terminal Server Licensing з меню Start, клацніть правкою кнопкою миші на сервері і виберіть Activate Server. З'явиться майстер активації сервера ліцензування:
· Automatic connection - Це найпростіший метод активації. Він вимагає, щоб сервер Terminal Server Licensing мав підключення до інтернет через порт 443 (SSL). Заповніть інформацію про компанію і клацніть Activate.
· Web Browser - Якщо сервер Terminal Server Licensing не підключений до інтернет, ви все одно можете активувати сервер через веб з іншого комп'ютера. Для цього відкрийте у веб-браузері сайт https: / / activate.microsoft.com /, заповніть інформацію про компанію, а також вкажіть унікальний ідентифікатор Terminal Server Licensing ID, який формує майстер активації. Веб-сервер дасть код активації, який ви повинні ввести в службу ліцензування.
· Telephone - Якщо у вас взагалі немає інтернету, то зателефонуйте в Microsoft Clearinghouse по телефону. Виберіть вашу країну в майстрі активації, і ви отримаєте номер телефону. Повідомте службі підтримки ім'я компанії, Контактна iнформацiя, ідентифікатор сервера, і вам повідомлять код активації. Активуйте сервер під час розмови по телефону або дуже уважно запишіть код на папері.
Після активації сервера ліцензування він негайно починає видавати тимчасові ліцензії для серверів Win2K і WS2K3, які дають адміністратору 90-денний період, протягом якого необхідно встановити постійні CAL на сервер ліцензування.
Якщо ви оновлюєте сервер Win2K з встановленою службою Terminal Server Licensing до WS2K3, вам необхідно повторно активувати службу ліцензування. Для цього виберіть Re-Activate Server в Advanced в меню Actions в утиліті адміністрування Terminal Server Licensing. [21]
Щоб додати пакету ліцензій, клацніть правою кнопкою в утиліті адміністрування Terminal Server Licensing і виберіть Install Licenses. Вам буде представлений той самий вибір, як при активації сервера. Якщо ви встановлюєте роздрібні ліцензії, цей тип ліцензій буде обраний автоматично. Однак, якщо ви встановлюєте ліцензії через Select, Open або інші угоди Microsoft, то вам слід вибрати тип додається ліцензії:
При запуску термінального сервера, він намагається знайти сервер ліцензування. Метод пошуку залежить від середовища сервера та режиму роботи сервера ліцензування. Ви можете перевизначити процес виявлення, явно вказавши в реєстрі сервери ліцензування. У Win2K ви могли вказати тільки один сервер ліцензування, а WS2K3 дозволяє вказати декілька. Додайте підключи в ключ
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TermService \ Parameters \ LicenseServers.
Кожен з'єднання повинен бути названий на ім'я сервера ліцензування.
Якщо ви не вкажете явно сервери ліцензування в реєстрі, то процес їх знаходження працює наступним чином: термінальні сервери в робочій групі або в домені, відмінному від AD, посилають широкомовні запити mailslot. Відповідно, таким чином можуть бути виявлені тільки сервери, що знаходяться в тій же підмережі.
Термінальні сервери AD спочатку шукають сервери ліцензування в режимі ліцензування Enterprise. Для цього вони роблять запит LDAP в пошуку запису CN TS-Enterprise-License-Server, вказуючи свій сайт. Потім термінальний сервер звертається до кожного контролера домену в сайті в пошуку доменного сервера ліцензування. Нарешті, термінальний сервер буде звертатися до всіх контролерам у своєму домені. [22]
Після виявлення термінальний сервер кешує всі знайдені сервери ліцензування в реєстрі в ключах:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ MSLicensing \ Parameters \ EnterpriseServerMulti і
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ MSLicensing \ Parameters \ DomainLicenseServerMulti.
Важливо зауважити, що якщо знайдені корпортівний (Enterprise) і доменний сервери ліцензування, то термінальний сервер завжди краще використовувати доменний сервер, навіть якщо для цього необхідно перейти кордони сайту. Якщо ні одного сервера ліцензування не знайдено, термінальний сервер буде продовжувати процес пошуку щогодини. Як тільки виявлений один або кілька серверів ліцензування, процес виявлення не повторюється до тих пір, поки в реєстрі доступні дані про кеш серверах.
Кожного разу при підключенні клієнта до термінального сервера, останній звертається до сервера ліцензування для підтвердження існуючої ліцензії або видачі нової ліцензії. Тип ліцензії, який видає термінальний сервер, залежить від режиму ліцензування - Per Device або Per User. Ви можете встановити режим в утиліті Terminal Services Configuration або груповими політиками. За замовчуванням використовується режим Per Device, але якщо ви оновили термінальний сервер Win2K, який був у режимі Internet Connector, то режим ліцензування буде Per User.
Щоб підтримувати маркери ліцензій як Per User, так і Per Device, термінальний сервер повинен бути в режимі Per User. [23]
Для кожного з'єднання клієнта сервер виконує наступні дії:
1. Незалежно від режиму ліцензування, термінальний сервер спочатку запитує пристрій клієнта щоб визначити, чи є в реєстрі маркер пристрою. Якщо маркер знайдений, термінальний сервер звертається до сервера ліцензування, який вказаний в маркері, для підтвердження ліцензії. Якщо це тимчасова ліцензія, сервер ліцензування призначить постійну ліцензію, яка буде збережена в реєстрі клієнта.
2. Якщо пристрій клієнта не має маркера, то наступний крок залежить від режиму ліцензування термінального сервера:
· A. Режим ліцензування Per - User - Термінальний сервер запитує облікові дані користувача і здійснює аутентифікацію. Потім він запитує сервер ліцензування або перевірити, або видати ліцензію для користувача. Маркер ліцензії зберігається на сервері ліцензування.
· B. Режим ліцензування Per - Device - Термінальний сервер запитує тимчасовий маркер у сервера ліцензування і записує його до реєстру клієнта. Після аутентифікації користувача термінальний сервер вказує сервера ліцензування позначити тимчасовий маркер як перевірений. Якщо користувач не аутентифицироваться, маркер негайно повертається в пул доступних ліцензій.
3. У будь-якому випадку, якщо сервер ліцензування не має вільних маркерів, виробляється звернення до іншого сервера ліцензування. Якщо перший сервер ліцензування знає, що інший сервер ліцензування має доступні ліцензії, він запросить маркер від особи термінального сервера. Якщо сервер ліцензування не знає про решту серверах ліцензування, то термінальний сервер запитує наступний сервер ліцензування, кеш в її реєстрі. [24]
У більшості випадків сервери ліцензування інформують одна одну про те, які ліцензії додані або видалені їх їх пулів. Цей процес називається "повідомленням про ліцензії" (License Token Announcement) і відбувається в наступних випадках:
· Між доменними серверами ліцензування в межах одного домену
· Між корпоративними серверами ліцензування всередині одного сайту та домену
· Від корпоративних серверів ліцензування до доменних серверів ліцензування
· Від серверів ліцензіровнія Win2K до серверами ліцензування WS2K3
License Server Administration
Після того, як ви активували ваші сервери ліцензування та інсталювали ліцензії, подальше адміністрування майже не потрібно. Проте, вам слід ознайомитися з кількома утилітами, щоб виявляти і усувати можливі проблеми з ліцензуванням.
Утиліта Terminal Sever Licensing є основною інструменту керування ліцензіями. Вона використовується для активування сервера ліцензування, встановлення ліцензій та перегляду доступних маркерів ліцензій. З її допомогою ви можете бачити, які користувачі та пристрої отримали маркери ліцензій і коли закінчується термін їх дії.
WS2K3 Resource Kit містить утиліту командного рядка LSREPORT.EXE. З її допомогою ви можете отримати список маркерів, призначених сервером ліцензування.
Є ще одна утиліта, Client License Test Tool, TSCTST.EXE. Вона використовується для запиту докладної інформації щодо маркерів пристроїв, інстальованих на зазначеному пристрої. У висновку утиліти міститься ім'я сервера ліцензування, що видав маркер, діапазон, користувач, який аутентифицироваться при видачі маркера, ідентифікатор ліцензії, термін дії. Якщо вказати опцію / A, утиліта також покаже версію сертифіката сервера, версію ліцензованого продукту, ідентифікатор апаратури, ідентифікатор платформи клієнта, ім'я компанії. [25]
Утиліта License Server Viewer - LSVIEW.EXE - також міститься в Resource Kit. Вона здійснює пошук серверів ліцензування і виводить всі сервери ліцензування термінальних служб. Вона також визначає тип сервера ліцензування - Domain or або Enterprise - і створює журнал з діагностичною інфрмації.
Групові політики для сервера ліцензування
WS2K3 включає декілька політик для управління ліцензуванням. З їх допомогою можна легко централізовано налаштувати сервери ліцензування та підтримувати іхз цілісність.
· License Server Security Group - За умовчанням, сервер ліцензування видає маркери клієнтам, що підключаються до будь-яких термінальних серверів. Якщо ви дозволите це налаштування, то сервер ліцензування буде відповідати на запити тільки тих термінальних серверів, які знаходяться в локальній групі Terminal Services Computers. Якщо сервер ліцензування є контролером домену, це локальна доменна група. Включення цього параметра запобігає небажаним термінальних серверів запитувати ліцензії та змушує використовувати окремий пул ліцензій для груп серверів. Якщо у вас є декілька серверів ліцензування для деякої групи термінальних серверів, додайте сервери ліцензування в цю групу.
· Prevent License Upgrade - Як ви знаєте, сервер ліцензування WS2K3 може роздавати термінальні ліцензії як Win2K, так і WS2K3. Якщо термінальний сервер Win2K запитує маркер, а сервер ліцензування не має доступних Win2K TS CAL, він буде автоматично видавати макркер ліцензії WS2K3 Per-Device (якщо вони доступні). Ця поведінка можна заборонити політикою. Якщо настройка дозволена, то сервер ліцензування буде видвать тільки времененние маркери клієнтам, що підключаються до термінальних серв Win2K. Якщо термін дії ліцензії закінчився, в підключенні відмовляється.
Група Terminal Services Computers за замовчуванням порожня; додайте в неї сервери перед тим, як включити політику, щоб запобігти відмовам в з'єднанні.
2.3 Сценарії розгортання термінальних служб
Що вам необхідно враховувати в першу чергу при управлінні робочими столами Windows? На першому місці будуть наступні фактори:
· Розгортання програмного забезпечення
· Захист від вірусів
· Поновлення ПО
Використовуючи Terminal Services ви можете значно понизити складність цих завдань. Роль термінального сервера WS2K3 дозволяє вам централізувати програмне забезпечення, зменшити число систем Windows у вашому середовищі і знизити ризик зараження вірусами, централізовано оновлюючи антивірусне ПЗ і створюючи єдину точку входу для віддалених користувачів.
Існує три основні моделі використання Terminal Services:
· Заміна робочого столу - Забрати зі столу користувача ПК з Windows і замінити його пристроєм тонкого клієнта.
· Вилучений доступ - Забезпечення доступу віддалених користувачів до робочого столу або індивідуальним додатків через глобальні мережі або RAS
· Провайдер додатків (Application service provider, ASP) - Надання доступу користувачів до індивідуальних програм, не інсталюючи ці програми, на робочих столах користувачів.
Однією з распстраненних причин впровадження Terminal Services є прагнення персоналу служб автоматизації підприємства повністю прибрати у користувачів персональні комп'ютери. Ця модель дає багато переваг, включаючи позбавлення від супровід кінцевих ПК, швидке розгортання і оновлення програмного забезпечення, зменшення енергоспоживання, підвищена захищеність. Залежно від вашої корпоративної архітектури, заміна робочого столу може також знизити споживану пропускну здатність і усунути необхідність в серверах у віддалених офісах. [26]
· Усунення підтримки кінцевих вузлів. Якщо у користувачів не буде ПК, то більше не треба бігати до робочих станцій для налаштування системи, встановлення і ремонту програм, допомоги в налаштуванні програм, заміни зламаних деталей. Пристрої тонкого клієнта мають операційну систему, зашиту в ROM, а додатки встановлюються на сервері терміналів. Служба техпідтримки може допомагати користувачам за допомогою віддаленого управління їх термінальними сеансами, а користувачі можуть самі замінити пошкоджене пристрій, просто встановивши нове.
Більшість пристроїв тонкого клієнта підтримують автоматичну конфігурацію через DHCP і FTP. Ви додаєте URL до розширення DHCP, і при завантаженні клієнта він завантажує свою конфігурацію з зазначеного FTP.
· Швидке розгортання та оновлення додатків. Якщо ви працюєте у великій компанії, то знаєте, наскільки важко поширювати програмне забезпечення для безлічі користувачів. Використовуючи Terminal Services і тонкі клієнти, ви просто встановлюєте нове ПЗ на серверах, і воно стає доступним тисячам користувачів.
· Зменшення енергоспоживання. Пристрої тонких клієнтів не мають рухомих частин, вони споживають лише 10% потужності звичайного ПК Wintel. З урахуванням постійного зростання цін на електроенергію, це може дати суттєву економію для вашої компанії.
· Підвищена безпека. Якщо вкрадуть звичайний компютер, ви ризикуєте втратити важливі конфіденційні дані, що зберігаються на ньому, і повинні викласти гроші для його заміни. У випадку тонкого клієнта дані на кінцевому пристрої не зберігаються, а вартість заміни становить приблизно половину вартості звичайного ПК.
На ринку пристроїв тонкого клієнта є багато гравців, включаючи Wyse Technologies 'Winterm і Neoware EON. Ці пристрої можуть використовувати будь-яку вбудовану ОС (Windows CE, embedded Linux і т.п.).
Однак, в моделі заміни робочих столів є і потенційні недоліки, включаючи обмежену пристосовність одноразових додатків, обмеження в персоналізації користувача та підвищена вартість впровадження:
· Обмежена пристосовність одноразових додатків. Якщо у вас невелике число користувачів, які потребують в додатку, то в моделі заміни робочого столу ви не будете мати свободи в установці програми лише на обраних для користувача ПК. Вам доведеться інтегрувати всі програми в інфраструктуру Terminal Services. З цієї причини модель заміни робочого столу краще всього підходить для однорідного середовища.
· Обмеження в персоналізації налаштувань. Якщо ваші користувачі персоналізують свої робочі станції шпалерами, зберігачами екрана, або мають можливість самі встановлювати програмне забезпечення, вам доведеться боротися з ними, коли вони зіткнуться з обмеженнями.
· Підвищена початкова вартість впровадження. Якщо у вас вже є велика кількість користувачів і комп'ютерів, початкові витрати при покупці пристроїв тонких клієнтів і надійних серверів можуть бути дуже великі. Проте, в довгостроковій перспективі зниження вартості володіння (ТСО) дасть більше, ніж покриття початкових витрат. Відкриття нового офісу або центру обробки замовлень - зручні випадки для впровадження моделі заміни робочого столу.
Якщо ці недоліки або корпоративна культура заважають впровадженню моделі заміни робочого столу, то модель віддаленого доступу може бути відмінною альтернативою. Багато великі компанії мають віддалені офіси або роз'їзних користувачів - надомних працівників, комівояжерів, кур'єрів і т.п. Хоча ноутбуки і КПК дають можливість віддаленої роботи, вони нічого не можуть зробити з повільними сполуками або з видаленою підтримкою. Крім того, ноутбуки дуже дорогі. [27]
Модель віддаленого доступу надає віддаленим користувачам можливість мати доступ до індивідуальних програм або навіть до цілого корпоративного робочого столу через інтернет (використовуючи Remote Desktop Web Connection, веб-версію клієнта Remote Desktop Connection) з їхніх домашніх комп'ютерів. Крім того, невисокі вимоги RDP до пропускної здатності підвищують продуктивність роботи в порівнянні з роботою на ноутбуці через повільні канали зв'язку.
Примітка: Використання термінального сервера в якості порталу в корпоративну локальну мережу може захистити вашу мережу від вірусів, присутніх на віддалених комп'ютерах.
При будь-якої стратегії віддаленого доступу ви повинні ставити питання безпеки на перше місце. Знайдіть час для навчання ваших мережевих інженерів особливостям протоколів термінальнх серверів. Забезпечте стратегію, що запобігає зловживання в термінальній середовищі.
Розглядаючи масштабне впровадження вертикального програми, слід враховувати багато факторів:
· Метод розгортання (Sneakernet, Systems Management Server-SMS, IntelliMirror)
· Вимоги до робочих станцій (RAM, диски, процесор)
· Підтримка та план відкату в разі невдалого впровадження
· Вимоги до пропускної здатності для додатків
Якщо програма не має складної інтеграції OLE з іншими програмами на робочих столах користувачів, вам може підійти модель ASP. Термінальні сервери, особливо разом з TSAC або іншими продуктами публікації додатків, можуть швидко і легко надавати користувачам необхідні їм програми, не вимагаючи установки і настройки на робочих станціях. У цій моделі програми інсталюються на термінальних серверах, а користувачі запускають їх з клієнтського застосування або веб-браузера. [28]
При вході адміністратора на сервер WS2K3, з'являється майстер Manage Your Server:
Клацніть посилання Add or remove a role для запуску майстра "Configure Your Server":
Потім майстер почне сканування ваших мережевих з'єднань, щоб визначити сумісні ролі, а потім видасть список доступних ролей.
У вікні, що з'явилося після сканування, виберіть роль термінального сервера і клацніть Next.
Майстер попередить, що після додавання ролі сервер буде перезавантажений, і запустить аплет Add / Remove Windows Components для додавання потрібних служб. По завершенні сервер перезавантажиться.
При додаванні ролі ви не можете відкласти перезавантаження.
Після перезавантаження зареєструйтесь в системі і ви побачите два вікна. Одне з них повідомляє про те, що роль термінального сервера успішно встановлена. [29]
Друге вікно містить вельми корисний список подальших кроків, які ви повинні зробити для завершення налаштування.

Налаштування ролі термінального сервера

Як видно з малюнка, після установки термінального сервера ви повинні зробити ряд кроків. У цьому розділі ми обговоримо налаштування термінального сервера.
Довідковий матеріал міститься в розділі Plan your Terminal Server Deployment, уважно ознайомтеся з ним.
Є два основні інструменти конфігурування термінального сервера: утиліта Terminal Services Configuration і редактор групових політик.
Terminal Services Configuration
Це основний інструмент налаштування термінального сервера. З його допомогою ви можете встановлювати режим повноваження для сервера, налаштовувати опції продуктивності, налаштовувати RDP. Ви можете запустити Terminal Services Configuration трьома способами:
· З меню Start в розділі Administrative Tools
· З майстра Configure Terminal Server
· З майстра Manage Your Server
У Server Settings ви бачите шість опцій:
Три з цих опцій - Delete temporary folders on exit , Use temporary folders per session (використовувати в сеансі тимчасові папки) і Active Desktop - краще залишити за замовчуванням [30]
· Delete temporary folders on exit (видаляти тимчасові файли при виході). Кожному користувачеві на термінальному сервері надається тимчасовий каталог. Він знаходиться в C: \ Documents and Settings \ <username> \ local settings \ temp. Якщо ця опція включена, то вміст цього каталогу видаляється при виході користувача.
· Якщо ви використовуєте переміщувані профілі і включили політику Delete cached copies of roaming profiles (звичайна практика на термінальних серверах), то настроювання Delete temporary folders on exit стає безглуздою. Проте, краще залишити цю опцію включеною, якщо у вас немає додатків, які вимагають наявності тимчасових файлів зі старого сеансу - в цьому випадку вам також доведеться змінити групову політику.
· Use temporary folders per session (окремий тимчасовий каталог для кожного сеансу). Якщо включено, то для кожного сеансу користувача створюється окремий тимчасовий каталог. Ці каталоги іменуються \ temp \ 0, \ temp \ 1 і т.д. Це не дає різним сеансам заважати один одному.
· Active Desktop - Починаючи з Windows 98, на робочий стіл стало можливим впроваджувати активний вміст (веб-сторінки, анімацію, новинні тікери і т.п.). Для зменшення прорісовок екрану, що надсилаються з термінального сервера клієнтові, ця установка за замовчуванням заборонено.
Решта три параметри - Licensing, Permission Compatibility і Restrict each user to one session - Вимагають трохи більшої уваги і поніманія.Оні залежать від вашої середовища та додатків, які ви інсталюєте на термінальному сервері. [31]
У Win2K при установці Terminal Services вам пропонувалося вибрати режим сумісності - дозволи, сумісні з Windows 2000 або з Terminal Server 4.0. У Windows 2003 Microsoft зосередилася на безпеці, тепер у WS2K3 за умовчанням режим Full Security. У цьому режимі в W2K3 користувачі, відмінні від адміністраторів, не можуть змінювати ключ HKEY_LOCAL_MACHINE і записувати файли в будь-яке місце диска, крім каталогу свого профілю. [32]
Якщо вам трапилося програму, що не може виконуватися в режимі Full Security, вам може знадобитися змінити режим на Relaxed Security (ослаблена безпека). Використовуйте цей режим у крайньому випадок, оскільки він відкриває сервер для небажаних змін з боку звичайних користувачів.
Наступна настройка відноситься до режиму ліцензування. Вона контролює, які типи ліцензій термнальний сервер буде запитувати у сервера ліцензування від імені клієнтів. У більшості випадків значення за замовчуванням Per Device, це означає, що ви повинні встановити на сервері ліцензування ліцензії "Per Device" для WS2K3 Terminal Server. Однак, якщо ви оновлюєте термінальний сервер Win2K, що використовує Internet Connector Licensing, то вам потрібно встановити ліцензування Per User.
Вибір режиму залежить від вашої середовища. Якщо у вас є користувачі, які мають декілька пристроїв, з яких вони можуть підключатися, то оптимальним буде вибір ліцензування Per User. Якщо ж одним комп'ютером користуються кілька різних користувачів, то краще Per Device - наприклад, якщо комп'ютер стоїть у службі цілодобової підтримки і використовується трьома користувачами в три зміни. Ліцензування Per Device означає, що вам знадобиться лише один маркер ліцензії для всіх трьох користувачів. Якщо ви встановите режим ліцензування Per User, то сервер також буде перевіряти і приймати з'єднання за допомогою пристроїв, які вже отримали маркер Per Device. [33]
Обмежити користувача одним сеансом (Restrict Each User to One Session). Включення цієї опції запобігає встановлювати користувачами кілька сеансів на одному сервері, що дозволяє економити його ресурси, дозволяючи одному користувачеві встановити тільки один сеанс і запускати програми лише в цьому сеансі. Врахуйте, якщо ви збираєтеся надавати прямий доступ до індивідуальних програм за межами робочого столу, то користувачів може виникнути потреба запустити більше одного програми одночасно. [34]
Citrix MetaFrame підтримує спільне використання сеансу (session sharing). Це дозволяє користувачеві запускати кілька опублікованих додатків на тому ж сервері без створення окремого сеансу для кожного з них. [35]
На наступному малюнку показаний вузол з'єднань. У цьому вузлі ви можете налаштовувати тайм-аути, безпеку і перенаправлення ресурсів клієнта.
За замовчуванням ви бачите тільки одне з'єднання RDP-Tcp. Якщо у вас багатоадресний (multihomed) севрера, то ви можете змінити визначення з'єднання за замовчуванням так, щоб воно застосовувалося тільки до одного мережевого інтерфейсу, а потім створити нове з'єднання для іншого інтерфейсу. Якщо ви інсталювали Citrix MetaFrame, то побачите тут ще й з'єднання ICA; але їх краще настроювати за допомогою Citrix Connection Configuration. [36]
Клацнувши правою кнопкою на з'єднанні, ви можете цілком його заборонити, перейменувати або отримати доступ до властивостей. Якщо ви знайомі з Win2K Terminal Services Configuration, то інтерфейс WS2K3 здасться вам знайомим, з додаванням нових особливостей RDP 5.2 та нової моделі "цілковитій безпеці".
Вкладка General властивостей RDP-Tcp дозволяє додати коментарі до з'єднання і встановити рівень шифрування. WS2K3 пропонує нові рівні шифрування:
· Low - Всі дані від клієнта до сервера захищаються 56-бітовим алгоритмом.
· Client Compatible (за замовчуванням) - Всі дані між сервером і клієнтом шифруються використовуючи максимальну силу ключа, підтримувану клієнтом.
· High - Всі дані між сервером і клієнтом шифруються використовуючи максимальну силу ключа, підтримувану сервером. Клієнти, що не здатні підтримувати заданий рівень шифрування, не зможуть підключитися.
· FIPS Compliant - Всі дані між сервером і клієнтом шифруються, використовуючи методи Federal Information Processing Standard (FIPS) 140-1
На вкладці Logon Settings ви можете вказати, щоб користувачі реєструвалися під своїми іменами або вказати єдину обліковий запис для автоматичного входу. [37]
Вкладка Sessions містить тайм-аути для роз'єднаних, неодружених і активних сеансів. Від `сеанс - це такий сеанс, в якому користувач активно відключився від сервера, закривши вікно з'єднання, але не вибравши з меню Start опцію" Disconnect ". Холостий (idle) сеанс - це сеанс з відкритим вікном, але користувач не натискав клавіші й не рухав мишею протягом заданого періоду часу. Якщо сеанс втрачає мережеве з'єднання або настає тайм-аут холостого сеансу, то ви можете вибрати, як чинити в цьому випадку - завершити сеанс або вважати сеанс роз'єднаним. [38]
Вкладка Environment дозволяє вказати деяку програму, яка завантажується при підключенні клієнта до сервера. Ви повинні вказати як шлях, так і ім'я файлу, що виконується. При підключенні будь-якого користувача, включаючи адміністратора, замість Windows Explorer буде запущена зазначена програма. Багато адміністратори помиляються, думаючи що налаштування тут аналогічна папці "Автозавантаження" (Startup) меню Start, яка автоматично запускає програму при реєстрації користувача. Це не так - зазначена тут програма замінює оболонку Explorer. [39]
Коли адміністратор хоче віддалено підключитися до існуючого користувача сеансу, то це називається shadowing, або віддалене управління. На вкладці Remote Control ви можете налаштувати значення за замовчуванням для наслідування налаштувань з користувацьких налаштувань, або можете вказати тут свої власні для цього сервера. Якщо ви вказуєте налаштування тут, то можете дозволити або заборонити, щоб користувач давав згоду на віддалене управління (через спливаюче вікно), а також можете встановити рівень взаємодії з призначеним для користувача сеансом - тільки спостереження або взаємодія. Якщо ви вибрали взаємодія (interact with the session), то адміністратор може керувати мишею та клавіатурою користувача від імені користувача. Ви також можете взагалі заборонити віддалене управління. [40]
Вкладка Client Settings дозволяє перевизначити перенаправлення наступних ресурсів клієнта:
· Драйв
· Принтери
· Порти LPT
· Порти COM
· Буфер обміну
· Аудіо
Вкладки Network Adapter і Permissions служать для налаштування параметрів сервера. На вкладці Network Adapter ви можете вказати, що налаштування відносяться до всіх мережних адаптерів або тільки до зазначеного. На вкладці Permissions ви вказуєте, хто має право підключення до сервера за протоколом RDP, а також рівень їх привілеїв:
Вкладка Network Adapter також дозволяє обмежити максимальне число з'єднань, допустима для зазначеного мережевого адаптера або для всього сервера, якщо встановлено "All network adapters configured with this protocol ". [41]
Вкладка Permissions дещо відрізняється від тієї, що була в Win2K. У Win2K, привілеї за замовчуванням дозволяли всім користувачам усіх довірчих доменів підключатися до термінального сервера відразу після його встановлення. У WS2K3 безпека перш за все, і підключення дозволено тільки адміністраторам і членам групи Remote Desktop Users. Врахуйте, що група Remote Desktop Users спочатку порожня, тому щоб ваші користувачі могли підключатися до термінального сервера, ви повинні їх додати в цю групу.
Якщо ви знаходитесь в домені AD, то для управління членами групи Remote Desktop Users ви можете використовувати настроювання Managed Group у груповій політиці.
У WS2K3 в редактор групових політик додано велику кількість нових параметрів, недоступних в Win2K. Якщо термінальний сервер знаходиться в середовищі AD, ви отримаєте велику перевагу від групових політик, але навіть якщо він знаходиться в робочій групі або в домені NT 4.0, налаштування термінального сервера все одно доступні через політику локальної машини. Ці налаштування доступні через редактор групових політик (Group Policy Editor). [42]
Для доступу до локального редактору групових політик, запустіть з комадно рядка GPEDIT.MSC. Відкрийте вузол Terminal Services у розділі Computer Configuration, Administrative Templates, Windows Components, Terminal Services. [43]
Установки розбиті на декілька категорій: Encryption (шифрування), Licensing (ліцензування), Sessions (сеанси) і т.д. Ви виявите, що деякі настройки ідентичні тим, що знаходяться в Terminal Services Configuration. Це зроблено для того, щоб ви могли централізовано керувати налаштуваннями серверів без необхідності конфігурувати кожен сервер вручну. Ось Деякі із установок:
· Set path for TS Roaming Profiles (встановити маршрут для переміщуваних профілів) - Ця установка дозволяє вказати сервер і папку загального доступу, в якій слід зберігати переміщувані профілі користувачів. Ви також можете вказати шлях до термінального профілю для кожного облікового запису користувача. Ця установка дозволяє не тільки перевизначити для користувача настройки залежно від сервера, але і дозволяє вказати інший профіль для термінального сервера для групи термінальних серверів. Це корисно, якщо ви маєте географічно розподілену ферму термінальних серверів і користувачі переміщаються між ними.
· TS User Home Directory (домашній каталог термінального користувача) - Ця настроках аналогічна попередньої, але вказує сервер і папку для створення домашнього каталогу для користувачів, що реєструються, на термінальних серверах. [44]
Налаштовуючи один з вищевказаних параметрів, не намагайтеся вказувати каталог для кожного користувача. Сервер автомтіческі додасть% username% до маршруту. [45]
· Do not allow local administrators to customize permissions (не давати локальним адміністраторам змінювати привілеї) - Ця установка забороняє вкладку Permissions в утиліті Terminal Services Configuration. Оскільки RDP в WS2K3 за замовчуванням обмежений і бажаний метод надання користувачам доступу до термінального сервера полягає в додаванні їх до групи Remote Desktop Users (замість додавання нових груп у привілеї RDP), ви можете цілком заборонити цю вкладку.
Вузол Licensing всередині Terminal Services використовується для настройки сервера ліцензування термінальних служб, призначаючи йому групу безпасності або забороняючи оновлення ліцензій. Група безпеки примушує сервер ліцензування видавати маркери ліцензій тільки тим термінальних серверів, які є членами групи безпеки Terminal Services Computers. Заборона оновлень ліцензій запобігає видачу маркерів термінальних ліцензій WS2K3 клієнтам, що підключаються до термінальних серверів Win2K. За замовчуванням, якщо сервер ліцензування не має доступних ліцензій для серверів W2K, він видає ліцензію WS2K3.
Вузол Session Directory використовується для конфігурування термінальних серверів, які є членами кластеру каталогу сеансів. У цьому вузлі ви можете вказати ім'я кластеру і сервер каталогу сеансів, а також поведінка при підключенні клієнтів існуючого сеансу в кластері.
Є також кілька налаштувань для адміністраторів термінального сервера. У Computer Configuration, Administrative Templates, System, User Profiles є опція Allow only local user profiles (дозволити тільки локальні профілі користувачів). Ця установка запобігає сервер від завантаження переміщуваних профілів, навіть якщо вони сконфігуровані в облікових записах користувачів. Це корисно, якщо у вас є термінальний сервер в іншому сайті, чим сервер профілю, і ви не хочете створювати окремий профіль для цього сайту. Якщо ви дозволите цю політику, то при вході користувача буде створюватися локальний профіль і зберігатися на сервері. [46]
Вузол User Profiles також містить політику Delete cached copies of roaming profiles. Ця політика вказує сервера видаляти локальну копію переміщуваного профілю після виходу користувача. Це дозволяє економити місце на диску і запобігає об'єднання старої версії профілю з мережевою, якщо користувач деякий час не реєструвався на термінальному сервері.
Якщо ви заглянете в User Configuration, Administrative Templates, Windows Components, Terminal Services, то побачите налаштування для віддаленого управління, середовища, тайм-аутів сеансів, аналогічно Computer Configuration. Такий подвійний доступ дозволяє настроювати політики на рівні користувача.
У більшості випадків, якщо ви налаштовуєте однакові параметри в Computer Configuration і в User Configuration, перемагають настройки комп'ютера. [47]
Додаткові параметри
Крім настройок, зроблених в Terminal Services Configuration і в редакторі групових політик, є кілька параметрів, які адміністратори можуть встановлювати в реєстрі. Ці параметри дозволяють поліпшити продуктивність серверів, збільшуючи число неодружених сеансів RDP і забороняючи різноманітні прикраси дисплея. [48]
· Холості з'єднання RDP - За умовчанням, сервер створює два неодружених сеансу, що відповідають на запити при відкритті клієнтом з'єднання. Після підключення користувача ці сеанси негайно замінюються новими холостими сеансами. Для запобігання вкрай рідкісного випадку, коли два з'єднання встановлюються в один і той же момент часу, ви можете збільшити число неодружених сеансів. Я рекомендую збільшити це число до 5, встановивши значення параметра IdleWinStationPoolCount в ключі HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server. [49]
· Перевизначення налаштувань робочого столу користувачів - Ці установки можуть підвищити продуктивність при роботі через RDP, зменшивши число оновлень екрану. Для відключення анімації при зміні розмірів вікна встановіть значніє MinAnimate в ключі HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \ UserOverride \ Control Panel \ Desktop \ WindowMetrics в 0. Крім того, ви також можете встановити наступні значення параметрів в ключі HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \ UserOverride \ Control Panel \ Desktop subkey.

Встановлення та налаштування клієнта Remote Desktop Connections

Після установки і настройки термінального сервера ви можете надавати доступ до сервера через інтерфейс клієнта. Існують дві версії клієнта Remote Desktop Connection: локальна версія, доступна для 32-розрядних Windows, Macintosh і PocketPC; і Remote Desktop Web Connection, елемент керування ActiveX, який використовується для підключення до термінального сервера з вікна Internet Explorer. [50]
Вибір клієнта залежить від ваших потреб. Якщо ви хочете підтримувати конфігурацію з'єднань до термінальних серверів на клієнтах (поширюючи файли RDP або дозволяючи користувачам самим вказувати імена серверів), то кращим вибором буде Remote Desktop Connection. Однак, якщо ви хочете централізовано керувати з'єднанням (іменами серверів, початковими програмами тощо), кращим вибором буде Remote Desktop Web Connection.

Клієнт Remote Desktop Connection

Клієнт Remote Desktop Connection входить до складу Windows XP. Якщо ви хочете встановити його на інших ОС, то можете завантажити його з сайту http://www.microsoft.com/windowsserver2003/technologies/terminalservices/default.mspx Цього клієнта можна встановити на наступні ОС: Windows 95, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0, Windows 2000 і Macintosh. Ви також можете завантажити Terminal Services Client для PocketPC з http://www.microsoft.com/mobile/pocketpc/downloads/default.asp. На наступній ілюстрації показаний інтерфейс клієнта Remote Desktop Connection:
В інтерфейсі ви можете настроїти наступні опції:
· Ім'я або адресу IP термінального сервера
· Ім'я і пароль, які використовуються для з'єднання
· Розмір екрана
· Глибина кольору
· Відображення звуку, драйвів, принтера, портів
· Поведінка комбінацій клавіш Windows (інтерпретація клієнтом або сервером)
· Початкова програма
· Дозвіл або заборона візуальних ефектів
Встановивши опції, ви можете зберегти конфігурацію у файлі RDP. Це текстовий файл, який може бути запущений для спрощення підключення до деякого сервера або додатком. Адміністратори можуть заздалегідь створити файли RDP і роздати їх користувачам по електронній пошті.
Якщо ви скопіювали файл RDP, що містить пароль для іншого комп'ютера, пароль не буде вводитися при підключенні. Це важливо враховувати при поширенні файлів RDP з попередньо встановленими обліковими даними.
Якщо адміністратор налаштував будь-яку з цих опцій в Terminal Services Configuration і Group Policy Object Editor на сервері, то налаштування сервера будуть перевизначати настройки клієнта. Установки групової політики будуть перевизначати настройки як Terminal Services Configuration, так і клієнта.
Клієнт Remote Desktop Web Connection
Remote Desktop Web Connection інсталюється на Internet Information Server (IIS) або на сервер WS2K3, на якому дозволена роль термінального сервера. Пакет Remote Dekstop Web Connection доступний на Microsoft для установки на Win2K IIS або може бути встановлений на WS2K3 шляхом вибору Add / Remove Windows Components, Application Server (details), IIS (details), World Wide Web Service (details), Remote Desktop Web Connection . Стара інсталяція встановлювалася в C: \ inetpub \ wwwroot \ tsweb, нова - в C: \ windows \ web \ tsweb. [51]
Єдині доступні опції - це ім'я сервера, розмір вікна та інформація для входу (ім'я і пароль). Сценарій ActiveX насправді підтримує повний діапазон налаштувань, доступних в локальному клієнта, просто вам необхідний деякий наивик в програмуванні, щоб отримати переваги від них.
WS2K3 також включає нову версію старого клієнта Terminal Services Connections від Win2K. Тепер він називається Remote Desktops і знаходиться в меню Start, Administrative Tools. Ви можете встановити його на WindowsXP, використовуючи пакет adminpak.msi, що знаходиться на CD-ROM з WS2K3.

Вимоги для доступу до термінального сервера

Як і при будь-якому впровадженні технології, процес інсталяції та конфігурування термінального сервера - це всього лише половина роботи. Ви повинні також спланувати адміністрування та супроводження, а також підтримання циклу життя програмного забезпечення. У цій главі я сфокусуються на адмініструванні термінальних служб, включаючи конфігурацію облікових записів користувачів. Крім того, я поясню настройки групових політик з точки зору Active Directory.
Поки ми розглядаємо інтерфейс User Properties, я хотів би обговорити інші налаштування термінального сервера. Більшість з цих налаштувань доступні в Terminal Services Configuration. Ви самі вирішуєте, на якому рівні їх застосовувати - для окремих користувачів або для сервера. Врахуйте, що налаштування перевизначають настройки сервера. Для доступу до призначених для користувача налаштувань використовуйте один з наступних інструментів: для доменів AD використовуйте інструмент Active Directory Users and Computers; для доменів NT 4.0 використовуйте User Manager for Domains, а для робочих груп - Computer Management.
Вкладка Terminal Services, показана в цьому розділі, не видно в версії User Manager for Domains для NT 4.0, і ви повинні використовувати версію цього інструменту для Win2K, WS2K3 або NT 4.0 Terminal Server Edition.
Незалежно від використовуваного інструменту, вам доступні одні й ті ж опції. На наступному малюнку показані вкладки Environment і Remote control.
Вкладка Environment використовується для вказівки початкової програми і налаштувань перепризначення ресурсів клієнта. Якщо ви дозволите опцію Start the following program at logon setting, то при кожному підключенні користувача замість робочого столу буде запущена зазначена програма.
У цьому розділі настройки сервера перевизначають настройки користувача. Так, якщо ви вказали початкову прогорамму і в налаштуваннях користувача, і в налаштуваннях сервера (за допомогою Terminal Services Configuration), то буде запущена програма, зазначена в налаштуваннях сервера.
На вкладці Remote control ви можете дозволити або заборонити можливість віддаленого управління сеансом цього користувача. Якщо ви дозволяєте віддалене управління, ви також можете вказати вимагати від користувача дозволу, а також встановити рівень управління. Ці налаштування будуть перевизначені, якщо віддалений доступ налаштований на сервері за допомогою Terminal Services Configuration.
Вкладка Sessions дозволяє встановити тайм-аути для термінальних сеансів. На цій вкладці ви можете встановити тайм-аути для активних, неодружених і роз'єднаних сеансів. Ви можете вибрати поведінку при втраті з'єднання або перевищенні ліміту часу сеансу - відключити сеанс або завершити його. Ви також можете вибрати, чи може користувач підключатися до роз'єднання сеансу роботи з будь-якого клієнтського пристрою або тільки з того, з якого ініціював сеанс.
При реєстрації користувача на робочій станції, система перевіряє атрибут Profile Path об'єкта користувача. Якщо користувач має централізовано зберігається профіль, і цей профіль новіше, ніж його локально кеш-копія, то профіль завантажується для цього користувача. Аналогічно, коли користувач реєструється на термінальному сервері, система запитує атрибут UserParameters і шукає Terminal Services Profile Path. [52]
Це розділення дозволяє підтримувати різні профілі користувачів залежно від того, який тип комп'ютера вони використовують. У більшості випадків ви захочете отримати переваги профілів Terminal Services, оскільки деякі функції Terminal Services ускладнюють життя, якщо ви не використовуєте профілі Terminal Services. Дозвольте мені пояснити, що я маю на увазі. Якщо ви не використовуєте переміщувані профілі для ваших користувача робочих станцій, то ви залежите від підтримки комп'ютером копії користувача профілю. Якщо користувач не реєструється на декількох ПК, ця установка працює прекрасно. Однак, на термінальному сервері відмова від використання переміщуваних профілів означає, що термінальний сервер повинен підтримувати профілі для всіх користувачів, що вимагає багато дискового простору. Крім того, якщо ви хочете використовувати розподіл навантаження та каталог сеансів для розподілу користувачів по декількох термінальних серверів, вам доведеться подедржівать профілі користувачів на кожному сервері.
Використання профілів Terminal Services дозволяє користувачеві отримувати однакові налаштування незалежно від того, до якого сервера він підключається. Для уникнення проблем з дисковим простором ви можете дозволити системну політику, яка видаляє локальні кеш копії переміщуваних профілів.
Якщо ви не вказали термінальний профіль, але вказали переміщуваний профіль Windows, термінальний сервер буде використовувати переміщуваний профіль Windows. Крім того, якщо термінальний профіль зазначений, але недоступний, система повернеться до профілю Windows. Ця поведінка може викликати небажані результати, якщо ви використовуєте на сервері сценарії сумісності додатків. [53]
Ви можете налаштувати облікові записи користувачів так, щоб при реєстрації на термінальному сервері вони використовували інші домашні каталоги. Окремі домашні каталоги для терміналів дозволяють тримати файли поза домашнього каталогу Windows користувача. Проблема полягає в тому, що якщо ваш користувач зберіг свої документи в домашньому каталозі Windows, то користувачеві необхідний доступ до того ж каталогу при реєстрації на термінальному сервері. Якщо ви визначили маршрут до домашнього каталогу Terminal Services, цей маршрут буде прменяют замість домашнього каталога Windows. Якщо ви не вказали домашній каталог Terminal Services, то буде використовуватися домашній каталог Windows.
Використання графічних утиліт для конфігурації користувачів зручно, якщо у вас мало користувачів. Але якщо вам необхідно конфігурувати велике число користувачів, то легше це робити з використанням інтерфейсу служби активного каталогу (Active Directory Service Interfaces, ADSI). У порівнянні з Win2K ця особливість значно поліпшена.
Таким чином було розглянуто організація термінального доступу засобами операційної системи Windows 2003 server. З розглянутого способу можна зробити висновок, що дана операційна система добре підходить для організації термінального доступу на основі тонких клієнтів.

3. Технічні характеристики пристроїв, що використовуються як терміналів
Термінали збору даних (англ. Portable data terminal), скорочено ТСД - це компактні мобільні переносні комп'ютери, оснащені дисплеєм і різними пристроями введення даних: клавіатурою, сканером штрихкодових або RFID міток, зчитувачем магнітних карт (опіціонально). Основне призначення терміналів збору даних - виходячи з назви - робота в різних системах автоматизації в якості мобільних робочих місць, які переміщуються разом із працівником (наприклад, комірником на складі або товарознавцем в магазині) і через які можливий оперативне введення / отримання даних в / із системи автоматизації в процесі приймання, відвантаження штріхкодірованной продукції, інвентаризації, виконання інших операцій, результати яких необхідно точно і максимально оперативно відобразити в обліковій системі. Способів обміну даними між обліковою системою і мобільним робочим місцем досить багато: починаючи від застарілих інфрачервоних (IrDA) і RS-232 інтерфейсів і закінчуючи сучасними USB і бездротовими bluetooth і wi-fi (бездротовим Ethernet). [54]
Для того, щоб організувати мобільне робоче місце, недостатньо наявності тільки самого терміналу збору даних. Необхідно відповідне програмне обеспеспеченіе, за своєю функціональністю відповідає тим завданням, для яких буде використовуватися пристрій. Інструменти, що застосовуються для розробки такого програмного забезпечення, залежать від типу платформи, що використовується в ТСД. Наприклад, для найбільш поширеної на поточний момент платформи Microsoft Windows CE (Windows Mobile) різних версій, застосовуються два підходи:
Організація робочого місця на основі "тонкого" клієнта:
Використовується або вбудований в платформу Remote Desktop Protocоl, або клієнт Citrix Metaframe, що дозволяють віддалено відображати вміст робочого столу персональго комп'ютера (сервера). Плюси такого підходу очевидні: будь-який розробник може написати програмне забезпечення для такого мобільного робочого місця, використовуючи знайомий йому інструмент. При цьому екранні форми програми будуть у незмінному вигляді відображатися на екрані терміналу збору даних. Також для створення мобільного "тонкогого" додатка застосовні стандартні підходи, пов'язані з розробкою WEB-орієнтованого додатки. Клієнтом на ТСД в цьому випадку буде виступати будь-який підтримуваний платформою WEB-explorer, наприклад Microsoft Pocket IE. Ще один підхід - використання telnet. У цьому випадку консольний додаток, запущене на telnet-сервер, відображається на екрані ТСД за допомогою відповідного telnet-client. На поточний час, даний підхід є застарілим, в зв'язку загальним старінням фонду обладнання (мобільних терміналів під управлінням DOS, Palm та ін.), Для яких використання telnet було єдино можливим варіантом - в силу технічних обмежень. Проте, протокол telnet був (і в деяких випадках залишається) досить популярним ще 5-10 років тому в основному у промислових системах. У будь-якому випадку, загальним плюсом підходу є наявність безперервного онлайн обміну даними з host-системою: інформація буде надходити в режимі реального часу, що відповідає концепції максимальної оперативності роботи. Крім того, підключення нових мобільних робочих місць (і масштабування системи) не викликає особливих труднощів: досить налаштувати на новому пристрої правила підключення до центрального серверу. Мінус підходу випливає звідси ж: режим онлайн вимагає безперервного знаходження терміналу збору даних у зоні покриття бездротової мережі, що спричиняє додаткові витрати на її установку і підтримку. [55]
"Товстий" клієнт являє собою додаток, розроблене для конкретної платформи мобільного терміналу. Для операційних систем Microsoft Windows CE (Windows Mobile) найбільш популярним інструментом, в даний момент, є продукти сімейства. NET, а також продукти інших розробників. Крім того, у випадку оригінальної платформи (нестандартна операційна система), використовуються, як правило, засоби розробки і бібліотеки виробника мобільного пристрою. "Товсте" додаток можна реалізувати як в концепції онлайн передачі даних, так і в офлайн (режим проміжного накопичення даних на терміналі і передачі при наступному сеансі зв'язку, batch режим). Таким чином, для завдань, які потребують оперативного обміну інформацією з host-системою, або принципової неможливості організації такого обміну (наприклад, робота експедитора з доставки вантажів з широкою географією) такий варіант буде більш кращим. І, звичайно ж, безсумнівний плюс - це зниження витрат на придбання та установку бездротового обладнання. Мінуси "товстого" клієнта - жорстка прив'язка до платформи (операційної системи) ТСД, ризики втрати даних при несостявшіхся сеанси зв'язку, залежність від продуктивності мобільного пристрою, необхідність організації проміжної бази даних на терміналі (ускладнення розробки).
Платіжний термінал - апаратно-програмний комплекс, що забезпечує прийом платежів від фізичних осіб в режимі самообслуговування. Для платіжного терміналу характерний високий ступінь автономності його роботи. Контроль за роботою можна проводити через Інтернет. [56]
Платіжний термінал призначений для
· Прийому платежів за послуги мобільного зв'язку, комунальні послуги, Інтернет-провайдерів, в рахунок погашення банківських кредитів;
· Поповнення особових рахунків в платіжних системах, рахунків банківських карт.
За допомогою екранного меню термінала користувач вибирає послугу, яку він хотів би оплатити, вказує необхідні реквізити (номер телефону, номер особового рахунку та ін) Дотримуючись інструкцій, виведеним на екрані, вводить необхідну суму в купюроприймач і натискає кнопку «Оплатити». Термінал самостійно розпізнає справжність готівкових грошей та їх номінал.
За допомогою GPRS-модему чи іншого засобу зв'язку термінал пересилає введені дані про платіж сервера платіжної системи, що забезпечує обробку платежу. Обробивши дані, сервер платіжної системи передає їх на шлюз сервера організації, на адресу якої призначається платіж. Після цього сума, введена в термінал, надходить на рахунок користувача і термінал роздруковує і видає користувачеві чек.
Ця послідовність може дещо відрізнятися. Наприклад, термінал може тільки перевіряти правильність формату введених реквізитів і не перевіряти успішність проведення платежу. У цьому випадку при невірно вказаних реквізитах платіж може бути прийнятий терміналом, але не надійти на рахунок в організації-одержувача до звернення до служби технічної підтримки компанії, яка обслуговує термінал.
Надання користувачам можливості користуватися терміналом є послугою, за яку компанія-власник терміналу звичайно стягує з користувачів плату. Плата може призначатися як відсоток від проведеної суми, часто з обмеженням мінімальної або максимальної суми, або може не стягуватися з користувача в явному вигляді, а замість цього стягуватися з організації-одержувача платежу. [57]
Платіжний термінал складається з корпусу сейфового типу, в який вбудований комп'ютер, TFT монітор (часто з сенсорним екраном вандалостійкі), пристрій безперебійного живлення, купюроприймач, принтер чеків, клавіатура (у разі звичайного монітора). У термінал також можливо вмонтувати пристрій для роботи з пластиковими банківськими картками, клавіатуру, сканер штрихкодів, фіскальний реєстратор і т. д.
1. Корпус
Корпус платіжного терміналу зазвичай виготовляється із сталі товщиною 2 мм і більше, що дозволяє йому витримувати інтенсивні механічні дії. Усередині встановлюється окремий сейф для купюропріємника, і корпус закривається на вандалостійкий ригельний замок. Якщо планується використовувати термінал і як рекламний майданчик, то корпус комплектується додатковим боксом для монтажу другого (рекламного) монітора. Для забезпечення додаткової безпеки зазвичай передбачається можливість кріплення корпусу до підлоги.
Незважаючи на ці заходи безпеки термінали зазвичай встановлюють в людних місцях, де присутні охорона або спостереження.
Термінали можуть мати різні вимоги до місця установки. Найчастіше потрібен захист від опадів, тому термінали встановлюють всередині приміщень або пішохідних тунелів (в т.ч. підземних переходів). Деякі моделі допускають установку під навісом.
2. Комп'ютерний блок
Являє собою звичайний комп'ютер, встановлений на спеціальному шасі, і оснащений, як правило процесором 2.6 GHz, пам'яттю 256 Mb.
3. Купюроприймач
Пристрій, призначений для прийому готівкових грошей. Купюроприймач визначає номінал прийнятої купюри і перевіряє її достовірність. Прийняті купюри зберігаються в стеккере, який знімається при інкасації платіжного термінала.
4. Чековий принтер
Пристрій, призначений для друку та видачі чека користувачеві. У силу свого призначення принтер повинен мати підвищену надійність та друку. Чекові принтери зазвичай оснащені механізмом "презентер", який дозволяє спочатку надрукувати документ, потім відрізати його і лише після цього видати користувачеві. Для друку чеків використовується спеціальна термопапір в рулонах. [58]
5. GPRS / GSM-модем Пристрій, призначений для організації обміну інформацією між платіжним терміналом і сервером платіжної системи за технологією бездротового зв'язку GPRS або GSM. Для роботи модему в нього встановлюється спеціальна SIM-карта відповідного оператора стільникового зв'язку, що надає послуги з передачі даних в місці установки автомата.
6. Сенсорний монітор
Пристрій, що дозволяє вводити в термінал дані дотиком до екрану без використання клавіатури. Зазвичай в терміналах використовують монітори з антивандальним сенсорним екраном, здатним протистояти грубому впливу і впливу зовнішнього середовища.
7. Клавіатура
Замість сенсорного монітора може використовуватися поєднання зі звичайного монітора і клавіатури.
Банкомат - електронний програмно-технічний комплекс, призначений для здійснення операцій видачі (прийому) готівкових коштів без участі уповноваженого працівника кредитної організації, в тому числі з використанням платіжних карт і передачі розпоряджень кредитної організації про перерахування грошових коштів з банківського рахунку (рахунку вкладу) клієнта , а також для складання документів, що підтверджують відповідні операції.
Нижче будуть приведені різні технічні рішення, які на думку постачальників, найбільш підходять для організації термінального доступу:
l Платіжний термінал
Модель і матеріал корпусу Lux, сталь товщиною від 2 до 3 мм .
Габаритні розміри (Ш, В, Г), мм 500, 2000, 400
Вага, кг 110 кг
Модем GPRS Siemens MC35i з виносної антеною Antey і підсилювачем
Монітор 17 дюймів , LCD TFT Samsung 710N з сенсорним екраном антивандальним General Touch, 6 мм
Комплектація системного блоку Системна плата VIA EPIA M10000 1Gz, жорсткий диск HDD 40 Gb Seagate, оперативна пам'ять 512 Mb DDR PC3200
Операційна система Windows XP
Система безперебійного живлення (UPS), мережевий фільтр ДБЖ PowerCom WOW 500U
Купюроприймач Cashcode SM 2007 (Канада) стекером 1000,1500 купюр.
Сталевий сейф / закривається бокс купюроприймача /
Термопринтер Citezen CBM 1000 Tupe 2. (Рулон на 80 мм .)
Попередньо встановлено платіжна система Кіберплат, ОСМП, Е Порт, Пегас (на вибір)
Можливість підключення терміналу до платіжної системи Кіберплат.
l Термінал збору даних
Тип сканера Лазерний (1 площину сканування)
Швидкість сканування 100 сканувань в секунду
Пам'ять - RAM 8 Мб
Flash ROM 2 Мб Клавіатура - 19 гумових клавіш
Харчування - Акумулятор на 3,6 VLithium-lon
Дисплей - 96x64 дот підсвічування
Інтерфейси - RS 232С
Розмір - 132 x 55 x 33 мм
Вага - 170 г
Час зарядки акумулятора основного - 8 годин (якщо акумулятор знаходиться в терміналі)
Обмін даними здійснюється по інфрачервоному (IRDA) интерфес
l Рішення фірми TONK в ціновій категорії від 10 000 руб до 15 000 руб.

1. Тонкий клієнт ТОНКО 1501 (TONK1501) (AMD Geode LX800, RAM 128 Mb, DOM 64 Mb, VGA, FastEthernet, 2xUSB, Serial, Parallel, 2xPS / 2, WinCE 5.0 Embedded).

Процесор AMD Geode LX800 (500 Mhz), RAM 128MB, Flash 32MB. Дозвіл монітора - до 1920 х 1440 (85Hz). Повна відсутність будь-яких рухомих частин. Операційна система - Microsoft Windows CE. Два USB 2.0 порти, порти PS / 2 для підключення клавіатури та маніпулятора-миша. Два аудіо порти для підключення мікрофону і зовнішнього аудіо-виходу, VGA роз'єм для підключення монітора, серійний і паралельний порти, LAN-порт Ethernet / Fast Ethernet.
Електроживлення 5 Вольт постійного струму від зовнішнього джерела.
Підтримка DHCP, RDP і ICA.
Маса - 1,5 кг .
Розміри, мм (В х Ш х Г): 242 х 44 х 202.
l Рішення фірми ELCOM в ціновій категорії від 3 000 руб до 9 000 руб.Позіціоніруют свою продукцію як тонкий клієнт для здійснення доступу до ККС.
- Процесор SPARC IIep з тактовою частотою 100 МГц (Sun Ray 1g/170)
AMD Alchemy (Sun Ray 2/2FS)
-Пам'ять-8 МБ
-Графічна карта-24-розрядна (Sun Ray 1g/170) / 32-розрядна (Sun Ray 2/2FS), 2-D прискорювач
- Дозвіл 1280 х 1024, до 76 Гц (Sun Ray 1g/170)
1600 х 1200, 60 Гц (Sun Ray 2/2FS)
-Вход/виход 4 USB порту з харчуванням (Sun Ray 1g/170)
2 USB порту з харчуванням, один послідовний порт (Sun Ray 2/2FS)
- Ethernet 1000Base-T (тільки Sun Ray 1g), 100Base-T, 10Base-T, 100Base-FX (оптичний інтерфейс, тільки Sun Ray 2FS)
- Пристрої введення-USB клавіатура Type 6
- USB миша "Crossbow"
- Sun MicrophoneTM II (додатково)
- SunCameraTM (додатково, I / O карта не потрібна)
- Аудіо-16-розрядний стерео аудіо вхід / вихід, мікрофон, навушники
- Композитне відео-NTSC/PAL
Пристрій зчитування смарт-карт Відповідає стандарту ISO-7816-1
l Рішення компанії Нієншанца АВТОМАТИКА в ціновій категорії від 1300 руб до 2500 руб. і позіціаніруются як панельні ПК, підходять для організації тонких клієнтів. Вкрай низька швидкодія. Бюджетні варіанти. Тактова частота процесора від 300 до 500 Мгц. Пам'ять в основному 64-128 Мб. Однак підтримка всіх сучасних мережевих інтерфейсів, і інтерфейсів вводу-виводу.
1. Для процесорних плат Wafer-5822
Поставляється з процесорної платою Wafer-5822 128MB RAM
Тип дисплея Кольоровий LCD TFT
Розмір екрану по діагоналі (дюйми) 12,1''
Дозвіл 800x600
2. Для процесорних плат POS-370
Поставляється з процесорної платою POS-370R
Тип дисплея Кольоровий LCD TFT
Розмір екрану по діагоналі (дюйми) 12,1''
Дозвіл 800x600
l Рішення компанії CiberPay - платіжні термінали, відрізняються високопроізодітельнимі комплектуючими, і високою захищеністю корпусів. Їх ціна від 2000 у.о. до 5000 у.о. Помітно, що компанія комплектує свої термінали дуже високопродуктивними комплектуючими, проте мета цього, невідома. Заемтно також, що їх комплектують також відеоадаптерами і жорсткими дисками, хоча мета цього також залишається невідома.
-Антивандальний корпус із сталі 1.5- 2.0 мм
-Процесор Intel "Celeron D 326" (2.53ГГц, 256Кб, 533МГц, EM64T) Socket775
-Модуль пам'яті 256МБ DDR2 SDRAM Kingston "ValueRAM" KVR533D2N4/256 (PC4300, 533МГц)
-Системна плата ASUS "P5PE-VM" (i865G, U100, SATA, AGP, VGA, SB, 1Гбіт LAN, USB2.0, mATX
-Жорсткий диск (HDD) 80ГБ Seagate 7200.10 ST380815AS "7200об./мін., 8МБ (SATA II)
-Блок живлення 300Вт IN-WIN "Powerman IP-P300AJ2-0" ATX12V 1.3 (20/24 +4 pin, d120мм)
-Купюроприймач CashCode (стекером 600,1000,1500 купюр)
-Кіоск термопринтер - CPP 8001
Як видно з аналізу технічних комплектуючих рішень різних фірм, універсального средст прийняття рішення щодо вибору тих чи інших комплектуючих не існує. Вибір технічних засобів залежить від мети подальшої екплуатациі терміналу.

ВИСНОВОК
Проведене дослідження доводить, що використання термінальних пристроїв вирішує такі проблеми як практичність, економічну ліквідність, і перспективність розвитку.
Використання термінальних пристроїв дозволило більш раціонально розподіляти обчислювальні ресурси між користувачами перших дуже дорогих обчислювальних машин. Термінальний доступ був організований для того, щоб користувачі могли мати можливість використовувати ресурси більш потужних серверів, перебуваючи за своєю робочою станцією. З появою дешевих персональних комп'ютерів (ПК) роль термінального доступу стала трохи знижуватися, тому що склалася думка, що достатню продуктивність ІС можна отримати на робочому столі кожного користувача ПК.
У ході виконання випускної кваліфікаційної роботи були описані різні архітектури побудови термінальних пристроїв, описані принципи побудови термінальних пристроїв, і принципи організації термінального доступу засобами операційної системи Microsoft Windows Server 2003. Були розглянуті основні протоколи термінали пристроїв. У ході виконується випускний кваліфікаційної роботи також були дані реальні приклади термінальних пристроїв, порівняльних аналіз їх технічних характеристик.
У ході виконанню випускної кваліфікаційної роботи були поставлені мета завдання дослідження.
Використовуючи Terminal Services, ви можете інсталювати додатки на невеликій кількості серверів, а не на сотнях робочих станцій. Ви також можете отримати вигоду від використання недорогих "тонких клієнтів", ніж від робочих станцій. Навіть якщо вам необхідно мати персональні комп'ютери для користувачів, ви все одно можете отримати вигоду від використання термінальних серверів за рахунок централізації мережевого трафіку.
Багато компаній також використовують термінальні сервери для віддаленого доступу. Це дозволяє закрити велику частину мережі і дозволити віддалені з'єднання з лише з окремими серверами. На таких серверах легко можна підтримувати останні пакети оновлень, антивіруси та ін
Архітектура клієнт-сервер - це не тільки архітектура, це - нова парадигма, що прийшла на зміну застарілим концепціям. Суть її полягає в тому, що клієнт (модуль) запитує ті чи інші сервіси у відповідності з певним протоколом обміну даними. При цьому, на відміну від ситуації з файловим сервером, немає необхідності у використанні прямих шляхів операційної системи: клієнт їх "не знає", йому "відомі" лише ім'я джерела даних та інші спеціальні відомості, що використовуються для авторизації клієнта на сервері. Сервер, який фізично може знаходитись на тому ж комп'ютері, а може - на іншому кінці земної кулі, обробляє запит клієнта і, зробивши відповідні маніпуляції з даними, передає клієнту запитувану порцію даних.
Таким чином завдання дослідження були вирішені, мета досягнута.

Глосарій