Я хотел бы начать цикл статей об использовании Windows Terminal Server. Вот чем я хотел бы поделиться с уважаемым сообществом:
Что отличает этот цикл от многочисленных статей о Windows Terminal Services?
Во-первых, это упор на создание отказоустойчивых систем (начиная с WS2008, все необходимое для этого имеется прямо в Windows, без применения дополнительного оборудования и программ). Во-вторых, это интеграция всего множества технологий под крышей Terminal Services. В-третьих, я затрону вопросы ежедневного, периодического и экстренного облуживания ролей Terminal Services, а также мониторирование и отчетность. Ну и в четвертых, эта серия основана на более чем трехлетнем опыте работы с Windows Server 2008 (и более чем года при миграции с WS2008 на R2 и работы с прекрасной, великолепной WS2008 R2). Каким образом это возможно, спросите вы, ведь WS2008 вышел год назад, я R2 вышел только в недавно? Ответ простой: я работаю в Microsoft IT и непосредственно занимался «догфудингом» Terminal Services и последующим переводом их в полноценный продакшн сервис. (хочу заметить в скобках: многие путают догфудинг с лабораторным тестированием. Это абсолютно разные вещи: цель тестирования – выявление багов и производительности на тестах; догфудинг – развертывание реального сервиса с незначительным уменьшением планируемой надежности (например, вместо 99.9% – только 95%) и для ограниченной, но все равно довольно широкой аудитории (порядка нескольких тысяч или десятков тысяч пользователей)).
Еще одна оговорка прежде чем мы перейдем к сути: я стараюсь использовать кальки с английских терминов как можно меньше, и поверьте, что «догфудинг», «продакшн» и тому подобное было для меня крепким орешком: не подобрав хороших русских слов, я решил использовать простую транслитерацию. Так что если вы не улавливаете смысла этих слов, или хотите предложить русский аналог – комментируйте, но я все же прошу некоторого снисхождения – очень трудно адекватно перевести термины вроде Single sign-on.
Итак, что же нового принес WS2008 в TS по сравнению с WS2003?
Список всех нововведений очень обширен: здесь и изменение архитектуры (например, нет больше сессии 0 (aka «консольная сессия»)), и введение новых групповых политик, и многое другое. Часть мелких улучшений мы затронем далее, но пока сосредоточимся на крупных изменениях.
В следующей статье (ну, конечно если это кого-то интересует) мы рассмотрим нововведения WS2008R2 (aka Win7 Server) по сравнению с WS2008, и перейдем, наконец, к делу.
- Обзор нововведений в WS2008 и WS2008R2
- Terminal Server
- Установка Terminal Server
- Установка программ
- Базовый мониторинг
- Terminal Server Farm
- Планирование
- Перенаправление и Session Broker
- Профили пользователей
- Мониторинг и обслуживание
- TSWA/RemoteApp
- WS2008 и R2: отличия
- Планирование и установка
- фильтрация приложений
- TS Gateway
- Принципы работы и условия, необходимые для установки
- Установка и настройка
- Детальное рассмотрение политик авторизации
- TS Gateway Farm
- Обслуживание, мониторинг и сбор статистики соединений
- Интеграция TSG/TSWA/TS
- VDI
- Общая интеграция
Что отличает этот цикл от многочисленных статей о Windows Terminal Services?
Во-первых, это упор на создание отказоустойчивых систем (начиная с WS2008, все необходимое для этого имеется прямо в Windows, без применения дополнительного оборудования и программ). Во-вторых, это интеграция всего множества технологий под крышей Terminal Services. В-третьих, я затрону вопросы ежедневного, периодического и экстренного облуживания ролей Terminal Services, а также мониторирование и отчетность. Ну и в четвертых, эта серия основана на более чем трехлетнем опыте работы с Windows Server 2008 (и более чем года при миграции с WS2008 на R2 и работы с прекрасной, великолепной WS2008 R2). Каким образом это возможно, спросите вы, ведь WS2008 вышел год назад, я R2 вышел только в недавно? Ответ простой: я работаю в Microsoft IT и непосредственно занимался «догфудингом» Terminal Services и последующим переводом их в полноценный продакшн сервис. (хочу заметить в скобках: многие путают догфудинг с лабораторным тестированием. Это абсолютно разные вещи: цель тестирования – выявление багов и производительности на тестах; догфудинг – развертывание реального сервиса с незначительным уменьшением планируемой надежности (например, вместо 99.9% – только 95%) и для ограниченной, но все равно довольно широкой аудитории (порядка нескольких тысяч или десятков тысяч пользователей)).
Еще одна оговорка прежде чем мы перейдем к сути: я стараюсь использовать кальки с английских терминов как можно меньше, и поверьте, что «догфудинг», «продакшн» и тому подобное было для меня крепким орешком: не подобрав хороших русских слов, я решил использовать простую транслитерацию. Так что если вы не улавливаете смысла этих слов, или хотите предложить русский аналог – комментируйте, но я все же прошу некоторого снисхождения – очень трудно адекватно перевести термины вроде Single sign-on.
Обзор нововведений Terminal Services в Windows Server 2008 и Windows Server 2008 R2.
Итак, что же нового принес WS2008 в TS по сравнению с WS2003?
Список всех нововведений очень обширен: здесь и изменение архитектуры (например, нет больше сессии 0 (aka «консольная сессия»)), и введение новых групповых политик, и многое другое. Часть мелких улучшений мы затронем далее, но пока сосредоточимся на крупных изменениях.
Terminal Server
- Новый протокол RDP 6.1. Три самых значительных улучшения:
- возможность работы через SSL (при применении TS Gateway)
- значительные улучшения клиентской безопасности (пароли не хранятся в RDP-файлах, проверка серверных сертификатов)
- новый режим работы: приложения RemoteApp
- Новый режим drainstop. Позволяет прекратить обслуживание запросов на новые сессии, но не затрагивает уже созданные, а также играет важную роль в VDI и в некоторых сценариях создания отказоустойчивых серверных ферм. Мы обязательно рассмотрим его применение.
- Новый режим аутентификации NLA (Network Level Authentication, не путать с Network Location Awareness). Позволяет аутентифицировать пользователя еще до показа ему классической формы входа (logon screen). Этот режим в большинстве случаев несовместим с TS Gateway, и мы обязательно разберемся, почему.
- Поддержка технологии EasyPrint. В WS2003 для того, чтобы клиент мог распечатать из серверной сессии на локальном принтере, драйвера этого принтера должны были быть установлены на TS. EasyPrint решает эту проблему.
EasyPrint доступен в Висте и Win7 из коробки, для его использования на XP необходимо установить .net и несколько обновлений. - Новые групповые политики для управления TS. Часть из них будет рассмотрена далее.
Session Broker
- В WS2003 назывался «Session Broker»
- Поддержка балансировки нагрузки на основе количества сессий на TS. Позволяет создавать отказоустойчивые фермы терминальных серверов без использования дополнительных аппаратных средств. Мы обсудим это в отдельной статье.
Terminal Services Gateway
Не существовал до WS2008. Позволяет подключение клиентов из других сетей (например, из интернета) к терминальным серверам и клиентским компьютерам (XP, Виста, Win7) по протоколу RDP через SSL туннель, при этом не соединяет сами сети. (Это объяснение может показаться излишне запутанным, но оно хорошо отражает суть. Мы вернемся к этому в статье о TS Gateway). Пока замечу, что эта великолепная технология позволяет во многих случаях избежать использования RAS/VPN и значительно улучшить безопасность соединения.К слову, технология завоевала Security Award на Engineering Excellence Forum'08, и мне очень приятно что я тоже приложил к этому некоторые усилия.
Terminal Services Web Access
Не существовал до WS2008. Позволяет создать веб-сайт, на котором опубликованы приложения RemoteApp и форма подсоединения к рабочим станциям в организации. Эту технологию крайне часто путают с TS Gateway, поэтому сразу подчеркну, что TSWA не занимается собственно «доступом» (Access) — это пример немного неудачного названия. Наиболее интересное применение этой технологии — в сочетании с TS Gateway, и мы займемся этим в статье об интеграции Terminal Server, TS Gateway и TS Web AccessВ следующей статье (ну, конечно если это кого-то интересует) мы рассмотрим нововведения WS2008R2 (aka Win7 Server) по сравнению с WS2008, и перейдем, наконец, к делу.
Отдельно замечу, что недостаток ссылок, картинок и практических рекомендаций с лихвой компенсируется позже, когда мы начнем рассматривать технологии подробнее. Надеюсь, скучно не будет.