虛擬化是現(xiàn)今的熱門(mén)話題，不過(guò)人們大多時(shí)候都只將它與虛擬機(jī)和操作系統(tǒng)虛擬化關(guān)聯(lián)起來(lái)。但自 Windows NT 4.0 發(fā)布以來(lái)，終端服務(wù)就已開(kāi)始抽象為遠(yuǎn)程運(yùn)行的應(yīng)用程序和桌面的表示層了。終端服務(wù)自那時(shí)起由來(lái)已久，而 Windows Server 2008 則提供了成熟而可靠的虛擬化演示平臺(tái)。我重點(diǎn)談一談終端服務(wù)當(dāng)中的重點(diǎn)改進(jìn)區(qū)域。

終端服務(wù)中的新功能

Windows Server 2008 中的終端服務(wù)有許多新特色和功能：

終端服務(wù) RemoteApp Windows Server 2008 中一個(gè)最顯著的更改是遠(yuǎn)程運(yùn)行單一應(yīng)用程序的能力。在舊版的終端服務(wù)中，即使您只希望訪問(wèn)單一應(yīng)用程序，還是會(huì)傳輸整個(gè)遠(yuǎn)程桌面。這對(duì)用戶來(lái)說(shuō)，常常容易造成混淆，因?yàn)橛行?yīng)用程序出現(xiàn)在遠(yuǎn)程桌面上（通過(guò)終端服務(wù)），而有些出現(xiàn)在本地桌面上 — 要記住哪個(gè)桌面有哪個(gè)應(yīng)用程序可能頗具挑戰(zhàn)性?，F(xiàn)在，通過(guò)終端服務(wù)訪問(wèn)的應(yīng)用程序看上去和運(yùn)行在用戶的本地計(jì)算機(jī)上的應(yīng)用程序一樣，行為表現(xiàn)也一樣。

終端服務(wù) Web 訪問(wèn) 每個(gè)人都特別希望有個(gè)簡(jiǎn)單的方法能讓最終用戶激活應(yīng)用程序。TS Web 訪問(wèn)滿足了這項(xiàng)需要，它允許系統(tǒng)管理員將個(gè)別應(yīng)用程序發(fā)布到網(wǎng)頁(yè)。TS Web 訪問(wèn)包含一個(gè)默認(rèn)網(wǎng)頁(yè)，可供立即部署，也可以自定義并集成到 SharePoint 網(wǎng)站中。若要通過(guò) TS Web 訪問(wèn)激活 TS RemoteApp，用戶要訪問(wèn)一個(gè)網(wǎng)頁(yè)（從 Internet 或內(nèi)部網(wǎng)絡(luò)訪問(wèn)），查看所有可用應(yīng)用程序的列表，然后單擊要激活的應(yīng)用程序。

在 Windows Server 2003 中，要從瀏覽器啟用連接，需要另外一個(gè)稱為遠(yuǎn)程桌面網(wǎng)站連接 (RDWC) 的 ActiveX 控件。這個(gè)控件現(xiàn)在已直接內(nèi)置到主要的遠(yuǎn)程桌面連接 (RDC) 客戶端中，所以客戶端上完全不需要下載或安裝任何東西。另外還支持完整的遠(yuǎn)程桌面協(xié)議 (RDP) 功能集，而舊版的 RDWC 客戶端是不支持該功能集的。

<span class="ArticleInlineTitle">終端服務(wù)網(wǎng)關(guān) </span>TS 網(wǎng)關(guān)是 Windows Server 2008 中最重要的新功能之一。RDP 通信量在端口 3389 上運(yùn)行，而系統(tǒng)管理員在將終端服務(wù)器部署到防火墻以外的用戶時(shí)，碰到的最主要的一個(gè)問(wèn)題就是必須在防火墻內(nèi)打開(kāi)該端口（不建議這樣做），或使用不同的 VPN 解決方案（成本高昂）。有了 TS 網(wǎng)關(guān)，RDP 流量會(huì)通過(guò) HTTPS（端口 443）以隧道方式傳輸，以便在 Internet 上的遠(yuǎn)程用戶與終端服務(wù)器（或遠(yuǎn)程計(jì)算機(jī)）之間建立加密連接。更棒的是，即使用戶或終端服務(wù)器位于基于網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 遍歷的路由器背后，此方案依然可行。

TS 網(wǎng)關(guān)可與 Windows Server 2008 的另一項(xiàng)功能“網(wǎng)絡(luò)訪問(wèn)保護(hù)”(NAP) 相結(jié)合，在授予終端服務(wù)資源的訪問(wèn)權(quán)之前，幫助確認(rèn)客戶端計(jì)算機(jī)的運(yùn)行狀況。

終端服務(wù)會(huì)話 Broker Windows Server 2000 推出了網(wǎng)絡(luò)負(fù)載平衡 (NLB)，它雖然與 Web 服務(wù)器搭配非常合適，但并不適合于終端服務(wù)的負(fù)載平衡。全新的 TS 會(huì)話 Broker 是絕佳的替代方案，它擴(kuò)展了 Windows Server 2003 的會(huì)話目錄功能來(lái)支持以會(huì)話為基礎(chǔ)的負(fù)載平衡。

通過(guò) TS 會(huì)話 Broker，新會(huì)話可以散布到場(chǎng)內(nèi)負(fù)載最少的服務(wù)器，而且用戶不必知道會(huì)話建立的位置，就能與現(xiàn)有會(huì)話重新連接。IT 管理員能夠使用此功能將每個(gè)終端服務(wù)器的 IP 地址映射到單一 DNS 條目。此配置還能提供容錯(cuò)，如果其中某一個(gè)場(chǎng)服務(wù)器無(wú)法使用，用戶可連接到場(chǎng)內(nèi)負(fù)載次少的服務(wù)器。

終端服務(wù)輕松打印 打印一直是許多終端服務(wù)環(huán)境系統(tǒng)管理員的噩夢(mèng)。因?yàn)榉?wù)器和客戶端計(jì)算機(jī)上必須同時(shí)裝有相匹配的打印驅(qū)動(dòng)程序，所以最終用戶安裝打印機(jī)時(shí)的可選余地較小，系統(tǒng)管理員也必須費(fèi)心考慮如何在服務(wù)器上管理打印驅(qū)動(dòng)程序。相反，有了 TS Easy Print，用戶現(xiàn)在可以從 TS RemoteApp 或完整的桌面會(huì)話可靠地打印到本地打印設(shè)備，無(wú)論是直接連接到設(shè)備還是通過(guò)網(wǎng)絡(luò)連接到設(shè)備皆可。最棒的是，現(xiàn)在無(wú)需在終端服務(wù)器上安裝驅(qū)動(dòng)程序，就能支持打印機(jī)。

當(dāng)用戶要從 TS RemoteApp 程序或桌面會(huì)話打印時(shí)，可以在本地客戶端看到完整的打印機(jī)屬性對(duì)話框，還可以訪問(wèn)所有打印機(jī)功能（例如水印、自動(dòng)分頁(yè)和裝訂）。當(dāng)用戶打印時(shí)，打印作業(yè)在服務(wù)器上以 Microsoft XPS 文檔格式呈現(xiàn)，并傳送到客戶端。另外，通過(guò) TS Easy Print，系統(tǒng)管理員可以使用組策略來(lái)限制只重定向到默認(rèn)打印機(jī)的打印機(jī)數(shù)目，從而減少開(kāi)銷并改進(jìn)可伸縮性。

這些都是 Windows Server 2008 中的“重量級(jí)”功能。我們會(huì)在下文再度討論 TS RemoteApp、TS Web 訪問(wèn)、TS 網(wǎng)關(guān)以及 TS 會(huì)話 Broker。首先，我們看一下此版本中其他同樣出色但不太明顯的功能。

安全性功能

安全性在新版本的終端服務(wù)中已得到增強(qiáng)。

網(wǎng)絡(luò)級(jí)別身份驗(yàn)證 (NLA) 和服務(wù)器身份驗(yàn)證 (SA) 在舊版的 TS 中，用戶在 RDC 客戶端上單擊“連接”之后，系統(tǒng)會(huì)顯示登錄屏幕，這為惡意攻擊者對(duì)終端服務(wù)器的登錄屏幕發(fā)動(dòng)拒絕服務(wù)或攔截式攻擊提供了可乘之機(jī)?，F(xiàn)在，NLA 會(huì)在 TS 會(huì)話開(kāi)始在服務(wù)器運(yùn)行并向用戶顯示登錄屏幕之前，先讓用戶、客戶端計(jì)算機(jī)和服務(wù)器憑據(jù)彼此進(jìn)行驗(yàn)證。服務(wù)器身份驗(yàn)證使用傳輸層安全性 (TLS) 來(lái)幫助確保客戶端正在連接的是合法的終端服務(wù)器，而不是惡意計(jì)算機(jī)。

單一登錄 用戶希望能夠使用一組憑據(jù)（用戶和密碼的組合，或智能卡和 PIN 的組合）只進(jìn)行一次身份驗(yàn)證，而不是每次使用新資源時(shí)都被要求進(jìn)行身份驗(yàn)證。在此版本中，如果計(jì)算機(jī)運(yùn)行 Windows Vista 或 Windows Server 2008 并連接到基于 Windows Server 2008 的終端服務(wù)器或 TS 網(wǎng)關(guān)，而且加入了域，則現(xiàn)在可以利用單一登錄。

系統(tǒng)級(jí)別強(qiáng)化 Windows Vista 和 Windows Server 2008 都有全新的系統(tǒng)級(jí)別強(qiáng)化，這基本上會(huì)將操作系統(tǒng)的組件模塊化，并以較低權(quán)限級(jí)別來(lái)運(yùn)行它們。在終端服務(wù)中，這項(xiàng)功能是通過(guò)將內(nèi)核 TS 引擎 (termsrv.dll) 分成兩個(gè)不同的組件（lsm.exe 和 termsrv.dll，前者為內(nèi)核會(huì)話管理員，后者用于遠(yuǎn)程連接）而實(shí)現(xiàn)的。

在過(guò)去，termsrv.dll 以較高的系統(tǒng)權(quán)限級(jí)別運(yùn)行?，F(xiàn)在，在新的 lsm.exe 中，只有三分之一的原始 termsrv.dll 代碼以該級(jí)別運(yùn)行，其余三分之二都在低得多的網(wǎng)絡(luò)服務(wù)權(quán)限級(jí)別運(yùn)行。與 Windows Server 2003 相比，這項(xiàng)更改大幅減小了受攻擊面。

用戶體驗(yàn)功能

有不少改進(jìn)可幫助用戶：

自定義顯示分辨率 隨著大型監(jiān)視器的發(fā)展和顯示分辨率比例類型的日益廣泛，Windows Server 2008 終端服務(wù)也進(jìn)行了升級(jí)以滿足您的需要。

用戶能夠設(shè)置自定義顯示分辨率（高達(dá) 4096 x 2048），或?qū)⒈壤臑?16:9 或 16:10 以獲得寬屏幕體驗(yàn)。各種新監(jiān)視器配置都得到支持，例如分辨率為 1680 x 1050 或 1920 x 1200 的監(jiān)視器。Windows Server 2003 最高支持 1600 x 1200 的分辨率且只支持 4:3 顯示分辨率比例，因此這是一項(xiàng)重大改進(jìn)。您可以通過(guò) RDC 客戶端對(duì)話框、.rdp 文件或命令提示符來(lái)設(shè)置自定義顯示分辨率。

若要在 .rdp 文件中設(shè)置自定義顯示分辨率，請(qǐng)?jiān)谖谋揪庉嬈髦写蜷_(kāi) .rdp 文件，并添加或更改下列設(shè)置（請(qǐng)注意 <value> 是分辨率，例如 1680 或 1050）：

監(jiān)視器擴(kuò)展 遠(yuǎn)程桌面會(huì)話現(xiàn)在能夠擴(kuò)展到多臺(tái)監(jiān)視器。要使這項(xiàng)功能正常運(yùn)行，有幾項(xiàng)先決條件：

若要在 .rdp 文件中啟用監(jiān)視器擴(kuò)展，請(qǐng)?jiān)谖谋揪庉嬈髦写蜷_(kāi) .rdp 文件，并添加或更改下列設(shè)置（注意：<value>=0 表示監(jiān)視器擴(kuò)展已禁用，<value>=1 表示已啟用）：

若要從命令提示符設(shè)置監(jiān)視器擴(kuò)展，請(qǐng)按下列語(yǔ)法使用 mstsc.exe 命令：

桌面體驗(yàn) 桌面體驗(yàn)讓終端服務(wù)的桌面更像 Windows Vista 桌面體驗(yàn)。這項(xiàng)功能向遠(yuǎn)程桌面添加了幾個(gè)組件，包括 Windows Media Player 11、桌面主題以及相片管理。以下是啟用桌面體驗(yàn)的方法：

服務(wù)器重新啟動(dòng)后，您必須確認(rèn)桌面體驗(yàn)功能已安裝。

字體平滑顯示 字體平滑顯示指終端服務(wù)支持 ClearType，它有助于更清晰地顯示計(jì)算機(jī)字體，特別是在 LCD 監(jiān)視器上。Windows Server 2008 中默認(rèn)啟用字體平滑顯示，而且可以在客戶端計(jì)算機(jī)連接時(shí)通過(guò)“遠(yuǎn)程桌面連接”中的復(fù)選框來(lái)啟用，如圖 1 所示。

圖 1 啟用字體平滑顯示

您應(yīng)該注意，字體平滑顯示會(huì)增加客戶端計(jì)算機(jī)與終端服務(wù)器之間使用的帶寬（4 到 10 倍不等，視具體情形而定）。之所以會(huì)增加帶寬，是因?yàn)?ClearType 字體在遠(yuǎn)程當(dāng)作位圖而不是字形來(lái)使用，而 RDP 使用字形的效率要高許多。

顯示器數(shù)據(jù)優(yōu)先使用 在 Windows Server 2003 中，打印大型作業(yè)往往會(huì)降低您的屏幕體驗(yàn)。顯示器數(shù)據(jù)優(yōu)先使用會(huì)自動(dòng)控制虛擬通道通信，以便為顯示器、鍵盤(pán)和鼠標(biāo)數(shù)據(jù)指定比其他通信（例如打印或文件傳輸）更高的優(yōu)先級(jí)。這種優(yōu)先設(shè)計(jì)是為了確保您的屏幕、鍵盤(pán)和鼠標(biāo)性能不致受到使用大量帶寬的操作（例如大型打印作業(yè)）的影響。

默認(rèn)設(shè)置為 70:30，即顯示器和輸入數(shù)據(jù)占據(jù) 70% 的帶寬，所有其他通信（例如文件傳輸或打印作業(yè)）占 30%。

您可以更改終端服務(wù)器的注冊(cè)表來(lái)調(diào)整此設(shè)置。為此，請(qǐng)?jiān)?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Ser­vices\Term­DD 子項(xiàng)下更改下列項(xiàng)的值：

如果沒(méi)有顯示這些項(xiàng)，您可以通過(guò)右鍵單擊 TermDD，指向“新建”，再單擊“DWORD(32-位)值”，添加它們。

通過(guò)設(shè)置 FlowControl­Disable=1 可禁用顯示器數(shù)據(jù)優(yōu)先使用。若禁用顯示器數(shù)據(jù)優(yōu)先使用，所有請(qǐng)求都會(huì)以先進(jìn)先出的方式處理。默認(rèn)值為 FlowControlDisable=0。

通過(guò)設(shè)置 FlowControlDisplayBandwidth 值可為顯示器（和輸入數(shù)據(jù)）設(shè)置相對(duì)帶寬優(yōu)先級(jí)。默認(rèn)值為 70，允許的最大值為 255。同樣，通過(guò)設(shè)置 FlowControlChannelBandwidth 值可為其他虛擬通道（例如剪貼板、文件傳輸或打印作業(yè)）設(shè)置相對(duì)帶寬優(yōu)先級(jí)。默認(rèn)值為 30，允許的最大值為 255。

顯示器數(shù)據(jù)優(yōu)先使用的帶寬比例基于 FlowControlDisplayBandwidth 和 FlowControlChannelBandwidth 的值。例如，若 FlowControlDisplayBandwidth 設(shè)為 150，F(xiàn)lowControlChannelBandwidth 設(shè)為 50，則比例為 150:50。因此顯示器和輸入數(shù)據(jù)將占據(jù) 75% 的帶寬。

FlowControlChargePostCompression 值確定流控制是根據(jù)前置壓縮字節(jié)還是后置壓縮字節(jié)來(lái)計(jì)算帶寬分配。默認(rèn)值為 0，表示計(jì)算將根據(jù)前置壓縮字節(jié)來(lái)進(jìn)行。

如果您對(duì)注冊(cè)表值進(jìn)行任何更改，必須重新啟動(dòng)終端服務(wù)器以使更改生效。

即插即用設(shè)備重定向 在 Windows Server 2008 終端服務(wù)中，設(shè)備重定向已得到增強(qiáng)和擴(kuò)展。現(xiàn)在，您可以重定向 Windows 便攜設(shè)備，特別是以媒體傳輸協(xié)議 (MTP) 為基礎(chǔ)的媒體播放程序以及以圖片傳輸協(xié)議 (PTP) 為基礎(chǔ)的數(shù)碼相機(jī)。

這項(xiàng)功能可使用“遠(yuǎn)程桌面連接”中的“選項(xiàng)”按鈕來(lái)啟用。啟用這項(xiàng)功能時(shí)，會(huì)顯示目前處于插入狀態(tài)的受支持即插即用設(shè)備的列表。不受支持的設(shè)備不會(huì)顯示。您也可以選擇該選項(xiàng)來(lái)重定向尚未插入的設(shè)備。圖 2 顯示了如何從 RDC 客戶端啟用這些功能。

圖 2 啟用尚未插入的設(shè)備

啟動(dòng)與遠(yuǎn)程計(jì)算機(jī)的會(huì)話后，您應(yīng)該會(huì)看到經(jīng)過(guò)重定向的即插即用設(shè)備被自動(dòng)安裝到遠(yuǎn)程計(jì)算機(jī)上 — 任務(wù)欄中將顯示即插即用通知。重定向的即插即用設(shè)備安裝好之后，即可在遠(yuǎn)程計(jì)算機(jī)的會(huì)話內(nèi)使用。例如，如果您重定向 Windows 便攜設(shè)備（例如數(shù)碼相機(jī)），便可在遠(yuǎn)程計(jì)算機(jī)上從“掃描儀與相機(jī)向?qū)?rdquo;之類的應(yīng)用程序直接訪問(wèn)它。

您可以使用以下某一組策略設(shè)置來(lái)控制即插即用設(shè)備重定向：

您也可以使用“支持的即插即用設(shè)備”復(fù)選框在終端服務(wù)配置工具 (tsconfig.msc) 中的“客戶端設(shè)置”選項(xiàng)卡上控制即插即用設(shè)備重定向。

遠(yuǎn)程訪問(wèn)更輕松

前面提到，TS RemoteApp 可讓用戶遠(yuǎn)程控制單一應(yīng)用程序，而 TS Web 訪問(wèn)可讓他們輕松地從網(wǎng)頁(yè)訪問(wèn)應(yīng)用程序，現(xiàn)在讓我們稍微深入討論一下這些功能以及一些配置細(xì)節(jié)。

TS RemoteApp RemoteApp 程序可通過(guò)各種方法部署到用戶桌面。除了 TS Web 訪問(wèn)外，您還可以：

有關(guān)用戶如何才能訪問(wèn) RemoteApp 程序的詳細(xì)信息，請(qǐng)參閱位于 go.microsoft.com/fwlink/?LinkID=84895 的《Windows Server 2008 TS Remote­App Step-by-Step Guide》（英文）中的“我應(yīng)如何部署 RemoteApp 程序？”。

TS Web 訪問(wèn) TS Web 訪問(wèn)允許從單一服務(wù)器或終端服務(wù)器場(chǎng)部署 RemoteApp 程序。TS RemoteApp 管理器提供了用于將應(yīng)用程序發(fā)布到 TS Web 訪問(wèn)的非常快速且有效的過(guò)程 — 首先安裝終端服務(wù)，然后安裝要承載的應(yīng)用程序。

使用 TS RemoteApp 管理器來(lái)添加為 TS Web 訪問(wèn)啟用的 Remote­App 程序。接下來(lái)，將 TS Web 訪問(wèn)安裝到您希望用戶通過(guò) Web 連接的服務(wù)器上。將 TS Web 訪問(wèn)服務(wù)器的計(jì)算機(jī)帳戶添加到終端服務(wù)器上的 TS Web 訪問(wèn)計(jì)算機(jī)組中。最后，配置 TS Web 訪問(wèn)服務(wù)器，以便從單一終端服務(wù)器或單一場(chǎng)填充其 RemoteApp 程序列表。

通過(guò)傳統(tǒng)方法安裝應(yīng)用程序或通過(guò)應(yīng)用程序虛擬化（前身為 SoftGrid）將應(yīng)用程序傳送到終端服務(wù)器之后，將這些應(yīng)用程序發(fā)布到 TS Web 訪問(wèn)就很簡(jiǎn)單了。“Remote­App 向?qū)?rdquo;引導(dǎo)管理員快速逐步完成幾個(gè)簡(jiǎn)單步驟，之后應(yīng)用程序就會(huì)顯示在已發(fā)布的 Remote­App 程序列表上。

應(yīng)用程序默認(rèn)發(fā)布到 TS Web 訪問(wèn)。RemoteApp 管理器隨后會(huì)向您顯示已經(jīng)發(fā)布的應(yīng)用程序以及通過(guò) TS Web 訪問(wèn)提供給用戶的所有應(yīng)用程序的列表。

現(xiàn)在，讓我們快速看一下默認(rèn)的最終用戶體驗(yàn)。TS Web 訪問(wèn)中的第一個(gè)選項(xiàng)卡顯示所有已發(fā)布的應(yīng)用程序的圖標(biāo)（見(jiàn)圖 3），第二個(gè)選項(xiàng)卡供用戶使用 Web 前端連接到特定的臺(tái)式計(jì)算機(jī)。前面提到，此 Web 界面完全可以自定義，《TS Web 訪問(wèn)分步指南：使用 Windows SharePoint Services 自定義 TS Web 訪問(wèn)》（可從 go.microsoft.com/fwlink/?LinkID=111241 獲得）是指導(dǎo)您逐步使用 SharePoint Services 完成自定義的理想資源。

圖 3 輸入 .rdp 文件的設(shè)置（單擊可獲得大圖）

其他部署方法 除了使用 TS Web 訪問(wèn)之外，您還可以通過(guò) .rdp 文件或 Windows Installer 程序包來(lái)部署 RemoteApp 程序。這些程序包可通過(guò)文件共享，或通過(guò) Microsoft Systems Center Operations Manager 或 Active Directory 軟件分發(fā)進(jìn)行分發(fā)。下一節(jié)將引導(dǎo)您逐步完成一些主要步驟，以創(chuàng)建合適的軟件包進(jìn)行應(yīng)用程序分發(fā)。

若要準(zhǔn)備 RemoteApp 程序供通過(guò)文件共享或其他分發(fā)機(jī)制進(jìn)行分發(fā)，您必須安裝終端服務(wù)以及要發(fā)布的應(yīng)用程序，并驗(yàn)證遠(yuǎn)程連接設(shè)置。“TS RemoteApp 向?qū)?rdquo;將幫助您添加 RemoteApp 程序及配置全局部署設(shè)置。您接下來(lái)就可以創(chuàng)建 .rdp 文件或 Windows Installer 程序包。

讓我們快速完成“Remote­App 向?qū)?rdquo;的步驟。在步驟 1 中，為 .rdp 文件配置終端服務(wù)器、TS 網(wǎng)關(guān)和證書(shū)設(shè)置（見(jiàn)圖 4）。

圖 4 程序包的設(shè)置選項(xiàng)（單擊可獲得大圖）

在步驟 2 中，指定快捷方式圖標(biāo)要顯示在桌面或“開(kāi)始”菜單上的位置，和/或與客戶端文件擴(kuò)展名相關(guān)聯(lián)，以便讓本地文件隨 RemoteApp 一同啟動(dòng)（見(jiàn)圖 5）。

圖 5 在 TS Web 訪問(wèn)中查看 RemoteApp 程序（單擊可獲得大圖）

在最后一個(gè)步驟中，“RemoteApp 向?qū)?rdquo;會(huì)打開(kāi)“已打包的程序”文件夾，讓您使用所選的分發(fā)軟件輕松地將這些已打包的應(yīng)用程序部署到客戶端計(jì)算機(jī)（見(jiàn)圖 6）。

圖 6 打包供進(jìn)行部署的程序（單擊可獲得大圖）

終端服務(wù)網(wǎng)關(guān)

現(xiàn)在我來(lái)分析 TS 網(wǎng)關(guān)如何幫助您的遠(yuǎn)程用戶從防火墻外訪問(wèn)應(yīng)用程序、數(shù)據(jù)或桌面。圖 7 高度概括了部署 TS 網(wǎng)關(guān)以通過(guò) Internet 向用戶提供訪問(wèn)權(quán)的典型情景。

圖 7 工作人員從家中的便攜式計(jì)算機(jī)連接到公司網(wǎng)絡(luò)（單擊可獲得大圖）

實(shí)際上，TS 網(wǎng)關(guān)位于網(wǎng)絡(luò)外圍，并通過(guò) HTTPS 傳送 RDP 通信。您也可以將 SSL 終結(jié)器（例如 Microsoft Internet Security and Acceleration Server — ISA）置于網(wǎng)絡(luò)外圍中，并將傳入 RDP 通信轉(zhuǎn)發(fā)到另一端的 TS 網(wǎng)關(guān)。

圖 7 中所示的步驟如下：

對(duì)于大規(guī)模的安裝，您可以創(chuàng)建 TS 網(wǎng)關(guān)服務(wù)器場(chǎng)，但您需要單獨(dú)的解決方案（例如 NLB 或第三方負(fù)載平衡器）以平衡服務(wù)器場(chǎng)各系統(tǒng)間的負(fù)載。TS 會(huì)話 Broker 不處理 TS 網(wǎng)關(guān)服務(wù)器的負(fù)載平衡。

現(xiàn)在讓我們快速看一下如何部署這項(xiàng)功能。簡(jiǎn)單的說(shuō)，您必須為 TS 網(wǎng)關(guān)服務(wù)器獲取并配置證書(shū)，并創(chuàng)建上文提到的兩個(gè)授權(quán)策略：TS CAP 與 TS RAP。

獲取證書(shū) 您可以使用現(xiàn)有的證書(shū)，也可以申請(qǐng)新證書(shū)。要讓 TS 網(wǎng)關(guān)順利運(yùn)行，必須具備有效的證書(shū)，您在安裝期間可以選擇導(dǎo)入證書(shū)或創(chuàng)建自簽名證書(shū)。

自簽名選項(xiàng)適合用于內(nèi)部測(cè)試，但是正式部署需要企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)（如 VeriSign）頒發(fā)的證書(shū)。安裝證書(shū)后，便可考慮部署授權(quán)策略。

授權(quán)策略 TS CAP 將確定哪些用戶可連接到 TS 網(wǎng)關(guān)，并指定用戶在什么條件下可以連接。例如，您可以指定存在于本地 TS 網(wǎng)關(guān)服務(wù)器上或 Active Directory 中的用戶組可連接到 TS 網(wǎng)關(guān)，而且該組成員必須使用智能卡進(jìn)行連接。

另一方面，TS RAP 確定哪些內(nèi)部資源用戶可通過(guò) TS 網(wǎng)關(guān)進(jìn)行訪問(wèn)。例如，您可以創(chuàng)建計(jì)算機(jī)組（例如終端服務(wù)器場(chǎng)），并將它與您的 TS RAP 相關(guān)聯(lián)。

您必須同時(shí)創(chuàng)建 TS CAP 和 TS RAP，才能讓遠(yuǎn)程用戶訪問(wèn)內(nèi)部資源，因?yàn)橛脩舯仨氈辽儆幸粋€(gè) TS CAP 和一個(gè) TS RAP 才能獲得訪問(wèn)權(quán)。管理員可通過(guò) TS 網(wǎng)關(guān)管理器同時(shí)創(chuàng)建這兩種類型，如圖 8 和圖 9 所示。

圖 8 創(chuàng)建連接授權(quán)策略（單擊可獲得大圖）

圖 9 創(chuàng)建資源授權(quán)策略（單擊可獲得大圖）

TS CAP 與 TS RAP 配合使用可提供兩種不同類型的授權(quán)，以便您配置對(duì)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)的更精細(xì)的訪問(wèn)控制級(jí)別。有關(guān)詳細(xì)信息，請(qǐng)參閱《Terminal Services Gateway Step-by-Step Guide》，網(wǎng)址為 go.microsoft.com/fwlink/?LinkID=85872。

TS 會(huì)話 Broker

我要介紹的最后一個(gè)主題是會(huì)話 Broker，它提供了一套易于部署、基于會(huì)話的負(fù)載平衡解決方案。此功能在 Windows Server 2003 的“會(huì)話目錄”功能（將用戶重新連接到現(xiàn)有的會(huì)話）的基礎(chǔ)上構(gòu)建，并增加了在場(chǎng)中負(fù)載最少的服務(wù)器上創(chuàng)建新會(huì)話的能力。

讓我們來(lái)看一下典型情景，即場(chǎng)內(nèi)所有的終端服務(wù)器在映射到特定終端服務(wù)器場(chǎng)名（假設(shè)為 Farm1）的 DNS 中都有主機(jī)資源記錄。因此，場(chǎng)中的任何終端服務(wù)器都能夠充當(dāng)重定向器并處理初始連接請(qǐng)求。

假設(shè)某用戶啟動(dòng) RDC 客戶端，指定一個(gè)名為 Farm1 的終端服務(wù)器場(chǎng)?？蛻舳藭?huì)聯(lián)系 DNS 服務(wù)器，將 Farm1 名稱解析為 IP 地址，而 DNS 服務(wù)器（配置為使用輪循機(jī)制來(lái)平衡初始連接請(qǐng)求的負(fù)載）會(huì)返回為 Farm1 注冊(cè)的 IP 地址的列表。

客戶端將連接請(qǐng)求傳送給 DNS 服務(wù)器返回的列表上的第一個(gè) IP 地址。位于該地址的終端服務(wù)器會(huì)充當(dāng)重定向器，查詢 TS 會(huì)話 Broker 服務(wù)器以判斷客戶端應(yīng)該登錄哪臺(tái)終端服務(wù)器。TS 會(huì)話 Broker 服務(wù)器檢查其數(shù)據(jù)庫(kù)，如果用戶已有現(xiàn)有會(huì)話，會(huì)話 Broker 便會(huì)返回該終端服務(wù)器的 IP 地址。如果用戶沒(méi)有現(xiàn)有會(huì)話，則會(huì)話 Broker 會(huì)判斷場(chǎng)內(nèi)哪臺(tái)終端服務(wù)器的負(fù)載最少（根據(jù)會(huì)話的數(shù)量和相對(duì)服務(wù)器權(quán)重值），然后返回該特定服務(wù)器的 IP 地址。

重定向器將該 IP 地址發(fā)送給客戶端，接著客戶端將連接請(qǐng)求發(fā)送給該服務(wù)器，由它來(lái)處理登錄請(qǐng)求并通知 TS 會(huì)話 Broker 已成功登錄。

請(qǐng)注意，雖然分發(fā)初始連接可以使用任何負(fù)載平衡機(jī)制，但 DNS 輪循機(jī)制是最易于部署的機(jī)制。不過(guò)，要注意 DNS 輪循機(jī)制的確有些限制，包括緩存客戶端上的 DNS 要求，這可能會(huì)使客戶端對(duì)每個(gè)初始連接請(qǐng)求都使用相同的 IP 地址，并且在用戶重定向到處于脫機(jī)狀態(tài)但仍列在 DNS 中的終端服務(wù)器時(shí)，可能產(chǎn)生 30 秒的超時(shí)延遲。

部署時(shí)將 TS 會(huì)話 Broker 負(fù)載平衡與網(wǎng)絡(luò)級(jí)別負(fù)載平衡解決方案（例如 NLB 或硬件負(fù)載平衡器）相結(jié)合，可避免 DNS 的限制，又能利用 TS 會(huì)話 Broker 功能。TS 會(huì)話 Broker 負(fù)載平衡功能使您可為每個(gè)服務(wù)器指派相對(duì)權(quán)重值，這有助于在場(chǎng)內(nèi)性能較強(qiáng)和性能較弱的服務(wù)器之間分配負(fù)載。例如，如果一臺(tái)服務(wù)器可處理的會(huì)話數(shù)比場(chǎng)內(nèi)另一臺(tái)服務(wù)器多兩倍，您就可以指定該服務(wù)器的權(quán)重值為 200，另一臺(tái)的權(quán)重值為 100。

TS 會(huì)話 Broker 負(fù)載平衡限制特定終端服務(wù)器最多只能有 16 個(gè)待處理登錄請(qǐng)求。這項(xiàng)功能有助于防止具有新登錄請(qǐng)求的某一臺(tái)服務(wù)器在特定情況下產(chǎn)生過(guò)大的負(fù)荷，例如，當(dāng)您向場(chǎng)添加新服務(wù)器時(shí)或使用戶能夠登錄到之前遭到拒絕的服務(wù)器時(shí)。

另外，還提供了全新的“服務(wù)器清空”機(jī)制，可使您防止新用戶登錄到準(zhǔn)備進(jìn)行維護(hù)的終端服務(wù)器。如果新登錄在特定終端服務(wù)器上被拒絕，TS 會(huì)話 Broker 將允許具有現(xiàn)有會(huì)話的用戶重新連接，但會(huì)將新用戶重定向到配置為允許新登錄的終端服務(wù)器。

有關(guān)詳細(xì)信息，請(qǐng)參閱《TS Session Broker Load Balancing Step-by-Step Guide》，網(wǎng)址為 go.microsoft.com/fwlink/?LinkID=92670。本文篇幅有限，我不再進(jìn)一步談?wù)?Windows Server 2008 TS 的新功能。不過(guò)，終端服務(wù)網(wǎng)站上有更多內(nèi)容，包括深入網(wǎng)絡(luò)廣播。若要了解更多信息，請(qǐng)參考 technet.microsoft.com/ts。

Joshua Schnoll 具有 15 年以上的市場(chǎng)和技術(shù)經(jīng)驗(yàn)，過(guò)去 6 年來(lái)一直專注于基于服務(wù)器的運(yùn)算。他目前擔(dān)任 Windows Server 終端服務(wù)的全球資深產(chǎn)品經(jīng)理，加入 Microsoft 前，他曾在 Sun Microsystems 歷任數(shù)職，包括 Sun Ray 超簡(jiǎn)化型客戶端的推動(dòng)產(chǎn)品市場(chǎng)營(yíng)銷經(jīng)理。

原文地址

文章出處：TechNet中文網(wǎng)

【編輯推薦】

1. Windows Server 2008 R2組策略報(bào)錯(cuò)解決手冊(cè)
2. Windows 7和Windows Server 2008 R2的組策略中的新增功能
3. Windows 8：脫離于硬件的虛擬化操作系統(tǒng)