Терминальные службы Windows 2000

Часть 2

Описание новых возможностей данной службы

Я полагаю, что читатели уже знакомы с использованием терминальных служб в NT 4.0, поэтому в данной статье в основном буду рассматривать особенности, относящиеся к версии Windows 2000.

Настройка терминальных служб

Запустим программу «Настройка терминальных служб» (Terminal Ser-vices Configuration). Теперь в нашем распоряжении имеется два семейства параметров (см. Экран 1) — «Подключения» (Connections) и «Параметры сервера» (Server Settings). В версии 4.0 можно было управлять только параметрами подключений. Рассмотрим оба семейства.

Экран 1. Окно оснастки «Настройка служб терминалов».

Подключения. Выберем из списка какое-либо подключение (их может быть несколько, для каждой сетевой карты свое), щелкнем правой кнопкой мыши и выберем из контекстного меню пункт «Свойства». Появится диалоговое окно со следующими закладками:

• «Общие» (General; см. Экран 2);

  Экран 2. Общие свойства RDP-TCP.

• «Уровень шифрования» (Encryp-tion level). Низкий — шифруется информация, вводимая пользователем при регистрации на сервере (имя пользователя и пароль), и данные, передаваемые от клиента к серверу. Средний — шифруются данные, передаваемые в обоих направлениях с помощью ключа стандартной длины (56 бит). Высокий — данные шифруются ключом длиной 128 бит (данный режим доступен только для тех версий, которые продаются на территории Северной Америки);
• «Параметры входа» (Logon Settings; см. Экран 3). Здесь можно либо указать необходимость ввода регистрационных данных в клиентской программе («Использовать регистрационные сведения клиента», Use client-provided logon information), либо для всех сеансов задействовать регистрационные данные одного и того же пользователя («Всегда использовать следующие сведения», Always use the following logon information). Можно также задать необходимость ввода пароля при установлении сеанса, даже если клиентская программа настроена на автоматический ввод имени и пароля («Требовать пароль только для входа», Always prompt for password);

  Экран 3. Параметры входа пользователей.

• «Сеансы» (Sessions; см. Экран 4). Данные параметры позволяют заменить соответствующие настройки, сделанные в свойствах пользователей и относящиеся к длительности активного сеанса, длительности бездействующего сеанса и длительности отключенного сеанса;

  Экран 4. Тайм-ауты для сеансов пользователей.

• на закладке «Среда» (Environment; см. Экран 5) можно назначить пользователю приложение, загружаемое при запуске сеанса работы с терминальным сервером, а также запретить использование фонового рисунка на рабочем столе;

  Экран 5. Задание программы, запускаемой в сеансах пользователей.

• «Удаленное управление» (Remote Control; см. Экран 6). Эта закладка разрешает или запрещает удаленное управление сессией пользователя из сессии администратора (управлять пользовательской сессией таким образом можно только из клиентской сессии, в которой работает администратор, но не с консоли сервера);

  Экран 6. Параметры удаленного управления сеансами.

• «Параметры клиента» (Client Set-tings; см. Экран 7). Здесь можно настроить подключение принтеров клиентского ПК в сессии терминального сервера, а также сопоставление в клиентской сессии LPT-портов клиентского компьютера и буферов обмена клиентского ПК и терминальной сессии;

  Экран 7. Параметры клиента.

• «Сетевой адаптер» (Network Adap-ter; см. Экран 8) позволяет настроить на использование терминальных служб определенные сетевые адаптеры сервера (если их несколько);

  Экран 8. Настройка сетевых адаптеров.

• «Разрешения» (Permissions; см. Экран 9) позволяет настроить управление доступом к соединениям RDP-Tcp.

Экран 9. Разрешения на доступ к службе терминалов.

Параметры сервера. На Экране 10 показано, какие параметры сервера может настроить администратор.

Экран 10. Настройка служб терминалов — параметры сервера.

«Режим сервера терминалов» (Termi-nal server mode) — режим сервера приложений или удаленного управления.

«Удаление временных папок при выходе» (Delete temporary folders on exit) — на время работы клиентского сеанса на сервере создается временная рабочая папка, которую можно удалять или не удалять по окончании работы сеанса.

«Использовать временные папки для сеанса» (Use temporary folders per session) — создавать или нет отдельные временные папки для каждого сеанса.

«Рабочий стол Active Desktop» — отключать или нет.

«Совместимость разрешений» (Permission Compatibility) — разрешения Windows NT 4.0 или Windows 2000 (об этом я уже упоминал, когда речь шла о процессе инсталляции терминальных служб; разрешения Windows 2000 позволяют более строго управлять доступом пользователей к ресурсам системы, но в данном режиме некоторые приложения, разработанные без учета специфики Windows 2000, могут не работать).

Свойства пользователей, относящиеся к терминальным службам

В свойствах учетных записей в системе Windows 2000 Server появились новые элементы, которые позволяют более гибко, чем раньше, настраивать работу пользователей.

• Закладка «Удаленное управление» (Remote Control; см. Экран 11). Здесь можно предоставить системному администратору право на перехват управления сеансом пользователя и определить, каким образом он будет это делать — с разрешения пользователя или без его разрешения. Кроме того, можно задать уровень управления - только наблюдение за сеансом или взаимодействие с ним.

  Экран 11. Задание свойств конкретного пользователя — удаленное управление.

• Закладка «Профиль служб терминалов» (Terminal Services Profile; см. Экран 12) — место расположения профиля пользователя и домашнего каталога в сеансе работы с терминальным сервером, а также разрешение на использование терминальной службы.

  Экран 12. Задание профиля служб терминалов для конкретного пользователя.

• Закладка «Среда» (Environment; см. Экран 13) — настройка запуска конкретного приложения в сеансе работы и подключение локальных устройств пользовательского ПК (заметим, что в данной версии сервера терминалов локальные диски не подключаются).

  Экран 13. Настройка среды пользователя служб терминалов.

• Закладка «Сеансы» (Sessions; см. Экран 14) — настройка тайм-аутов работы клиентской сессии.

Экран 14. Тайм-ауты для сеансов данного пользователя.

Программа формирования клиента терминальных служб (Terminal Services Client Creator)

При установке терминальных служб в папке WINNTsystem32clients (или Wtsrvsystem32clients) создается папка tsclient, в которой, в свою очередь, создаются еще три подпапки: Win16, где находятся установочные файлы 16-разрядного клиента терминальных служб для Windows for Workgroups, подготовленные для записи на четыре дискеты; папка Win32, в которой содержится разбитый на две дискеты дистрибутив 32-разрядного клиента для Windows 95/98/NT/2000; папка Net с теми же дистрибутивами 16- и 32-разрядного клиентов, но предназначенными уже для установки через локальную сеть. Администратор может сделать данную папку общедоступной, чтобы пользователи сети могли устанавливать клиента терминальных служб на свои рабочие места.

Кроме того, клиент терминальных служб может быть записан на дискеты с помощью административной программы «Формирование клиента терминальных служб». Все операции достаточно просты и не требуют дополнительных комментариев.

Диспетчер терминальных служб (Terminal Services Manager)

Самая интересная новинка в диспетчере терминальных служб (в версии 4.0 эта программа называлась Terminal Server Administration) — возможность удаленного управления сессией пользователя из клиентской сессии администратора, причем обязательно из клиентской сессии, а не с консоли сервера.

Чтобы перехватить управление сессией какого-либо пользователя, администратор должен выбрать в диспетчере терминальных служб нужную сессию, щелкнуть правой кнопкой мыши и выбрать в меню пункт «Удаленное управление» (Remote Control). Далее, если администратор должен запрашивать разрешение пользователя (см. Экран 11), то у пользователя появится панель с соответствующим запросом. Если он разрешит передать управление администратору, то последний получает его. Уровень управления чужой сессией опять же зависит от свойств конкретного пользователя — либо только наблюдение за сеансом, либо взаимодействие с ним, т. е. администратор работает в сеансе пользователя, как в своем собственном. Данная возможность позволяет администратору решить многие проблемы пользователей, находясь на своем рабочем месте. Администратор может вернуться в свою сессию, нажав комбинацию клавиш Ctrl и символ «*» на дополнительной цифровой клавиатуре (комбинацию клавиш при желании можно изменить).

Работа клиента терминальных служб

В работе клиентской программы терминальных служб теперь используется общий буфер обмена окна клиента терминальных служб и системы на рабочем месте пользователя, а также подключение локальных принтеров пользователя в сеансе работы с терминальным сервером, причем стандартные настройки свойств пользователя делают принтером по умолчанию именно локальный принтер пользователя.

В Таблице 1 приведен список «горячих» клавиш при работе в клиентском сеансе. В левом столбце в скобках указаны комбинации клавиш, принятые в системах семейства Windows, а в правом — комбинации клавиш для выполнения тех же действий в окне клиента терминальных служб.

ActiveX-компонента для IE

На компакт-диске с Service Pack 1 для Windows 2000 появился AсtiveX-компонент для работы с терминальным сервером через Web, т. е. с помощью браузера Internet Explorer.

Данный компонент устанавливается на сервер со службой MS Internet Information Server версии 4 и выше. Таким образом, WWW-сервер становится посредником между совсем уж тонким клиентом (на клиентском ПК теперь не нужно устанавливать даже клиента терминальных служб, достаточно иметь браузер Internet Explorer версии не ниже 4) и терминальным сервером.

Чтобы установить ActiveX-компонент на сервер IIS, нужно открыть на компакт-диске с SP 1 папку VALUEADD, в ней папку TSAC (Terminal Services Advanced Client) и запустить программу TSWEBSETUP.EXE. При установке будет создана папка (по умолчанию это c:Inetpubwwwroot sweb), затем потребуется добавить в конфигурацию WWW-сервера виртуальный каталог TSWEB.

После установки компонента на сервере IIS на компьютере пользователя нужно запустить Internet Explorer и ввести в адресной строке следующее: http://MyServer/TSWEB (где My-Server - это имя WWW-сервера). Браузер установит соединение с сервером IIS, загрузит с него недостающие компоненты, и система потребует ввести имя или IP-адрес терминального сервера, задать размер окна клиента терминальной службы и нажать кнопку Connect.

Заметим, кстати, что в этом же каталоге на компакт-диске с SP 1 имеется также программа TSMMCSETUP.EXE, которая после установки добавляет snap-in-модуль под названием Terminal Services Connections. Данный модуль позволяет в одном окне приложения открыть сеансы работы с несколькими серверами и переключаться между ними по мере необходимости. Эта программа очень пригодится системным администраторам, особенно если вспомнить, что специалисты Microsoft рекомендуют устанавливать службу терминалов в режиме удаленного управления на все серверы Windows 2000 (а в крупной организации таких серверов может оказаться немало, причем они могут быть расположены довольно далеко друг от друга). Кстати, устанавливается данная программа именно в группу «Администрирование» в главном меню системы.

Маленькое замечание: данная оснастка работает только на компьютерах с системой Windows 2000.

Возможности Windows 2000 Resource Kit

Комплект Windows 2000 Resource Kit, как обычно, предоставляет дополнительные возможности для работы с системой Windows 2000, в том числе и для терминальных служб.

Я не буду подробно описывать процедуру установки дополнительных модулей и компонентов: документация по Resource Kit содержит все необходимые инструкции по использованию этих программ, приведу лишь краткий обзор новых возможностей.

DrMapSrv. Данный модуль (потребуется установить компоненты как на сервере, так и на клиентских ПК) позволяет в окне клиентского сеанса подключить диски, расположенные на компьютере пользователя. Правда, мне лично удалось это сделать пока только на клиентском компьютере с системой Windows 2000.

FileCopy. Здесь также необходимо установить некоторые дополнительные компоненты и на сервере, и на клиентских компьютерах. Зато после установки с помощью буфера обмена можно переносить между локальной системой пользователя и окном терминальной сессии не только фрагменты обрабатываемых документов (например, текст или графическое изображение), но и целые файлы или папки с файлами, как это обычно делают пользователи персональных компьютеров с системами Windows.

Lsreport. Утилита нужна только системным администраторам. Она позволяет выводить в текстовый файл информацию о лицензиях со всех серверов лицензий, функционирующих в организации. Данная утилита работает только в режиме командной строки.

Lsview. Утилита тоже предназначена для администраторов. Она позволяет просматривать функционирующие серверы лицензий (с помощью графического интерфейса).

Коротко о процессе установки Office 2000 на Terminal Server

В заключительной части статьи немного поговорим об инсталляции пакета Office 2000 на Windows 2000 Server с установленными терминальными службами. Данный материал относится также и к установке Office 2000 на Windows NT Server 4.0 Terminal Server Edition.

Те, кто устанавливал на Terminal Server различные приложения, в том числе и Office 97, знают, что использование приложений, написанных без учета многопользовательской среды, в системе Terminal Server требует некоторой дополнительной работы. Она связана с копированием некоторых файлов, например шаблонов документов, в личные папки пользователей, а также с установкой соответствующих прав доступа к другим файлам приложения. Разработчики Microsoft подготовили специальные командные файлы сценариев для некоторых наиболее популярных приложений. Эти сценарии находились в папке Application Compatibility Scripts, которая сохранилась и в системе Windows 2000.

Поскольку Office 2000 разработан специально для многопользовательской среды, изначально все рабочие файлы нового офисного пакета находятся в личных папках пользователя; в профиле пользователя создаются папки типа Application Data, Local Settings, My Documents и т. д.

Особая настройка Office 2000 для использования на терминальном сервере связана с другими проблемами и задачами — уменьшением нагрузки на процессор и снижением сетевого трафика.

Для подготовки пакета Office 2000 к установке на терминальный сервер понадобится набор инструментов из состава Office 2000 Resource Kit. Его можно загрузить с сайта Microsoft http://www.microsoft.com/office/ork. Там же можно найти подробное руководство по установке Office 2000 на терминальный сервер. Поскольку руководство написано на английском языке, я изложу здесь его основные моменты.

Процесс установки Office 2000 можно описать в виде последовательности шагов.

Установка Office 2000 Resource Kit. Установим на терминальном сервере инструменты из пакета Office 2000 Resource Kit. В первую очередь нам понадобятся Custom Installation Wizard («Мастер установки») и Terminal Server Tools («Инструменты для терминального сервера»), причем в Terminal Server Tools главный компонент — файл TERMSRVR.MST, так называемый transform-файл (файл преобразований), который настраивает Office 2000 именно для работы на терминальном сервере.

Суть настроек заключается в следующем. Во-первых, компоненты Office 2000 либо устанавливаются полностью, либо не устанавливаются вообще, т. е. нет вариантов запуска компонентов с компакт-диска или установки при первом обращении к компоненту.

Во-вторых, при запуске программ, входящих в офисный пакет, их заставки будут отображаться в упрощенном виде, с меньшим количеством цветов. Такой подход позволяет снизить трафик между сервером и клиентом (это особенно полезно, когда клиент подключается к серверу с помощью модема, с низкой скоростью соединения).

В-третьих, «Помощники» (Office Assistants) по умолчанию не устанавливаются, так как движущиеся изображения на терминальном сервере создают немалую нагрузку на процессор и повышают сетевой трафик.

Подготовка transform-файла. Файл TERMSRVR.MST представляет собой только заготовку для установки Office 2000. Нам нужно подготовить собственный transform-файл, задающий необходимую конфигурацию. Мы предполагаем, что операционная система и папка с программными файлами находятся на диске C:, а для привода CD-ROM назначена буква D:.

Запустим программу Custom Instal-lation Wizard. Эта программа последовательно приведет нас к нужному результату — подготовленному файлу преобразований. Кстати, мастер Custom Installation Wizard можно использовать и для подготовки Office 2000 не только для работы на терминальном сервере, но и во многих других ситуациях, когда требуется сначала подготовить конфигурацию установки, а уж затем произвести саму установку Office 2000.

Вначале мастер установки запрашивает файл формата Windows Installer для Office 2000 (MSI-файл). Данный файл находится на первом компакт-диске пакета Office 2000.

Затем мастер спрашивает, нужно ли открывать какой-либо существующий MST-файл. Вот здесь обязательно следует указать файл TERMSRVR.MST из пакета Office 2000 Resource Kit.

После этого нужно указать, где сохранять результирующий MST-файл (на всякий случай его лучше сохранить в другой папке или с другим именем). Далее выполняется настройка установки Office 2000: указывается папка, в которую будет установлен Office 2000; определяется, следует ли удалять компоненты предыдущих версий Office, осуществляется выбор компонентов пакета Office и многое другое. Для нас важен шаг 16 (из 17), на котором задаются некоторые дополнительные параметры установки. Самый важный из них — параметр REBOOT. Если Office 2000 устанавливается на работающий сервер, то этому параметру необходимо присвоить значение ReallySuppress, иначе программа установки после завершения инсталляции перезагрузит сервер безо всякого предупреждения. Когда все параметры установки настроены, остается только нажать кнопку Finish для сохранения файла преобразований.

Мастер установки сохранит полученную конфигурацию и выведет на экран командную строку, которую нужно будет ввести, чтобы выполнить установку Office 2000 (см. Экран 15). Эту строку следует обязательно переписать или сохранить в текстовом файле с помощью буфера обмена.

Экран 15. Командная строка для инсталляции Office 2000.

Нам осталось нажать кнопку Exit и запустить процесс установки. Сама установка Office 2000 запускается как обычно: выбираем «Пуск» -> «Панель управления» -> «Установка и удаление программ» -> «Установить новую программу». Когда потребуется указать путь к программе установки, нужно будет ввести ту командную строку, которая получена в результате работы мастера установки, с небольшими поправками, а также указать букву диска, с которого запускается программа инсталляции (в нашем случае это диск D). Теперь следует нажать кнопку «Далее», после чего установка Office 2000 будет происходить уже без участия пользователя. Даже на экране монитора ничего не будет отображаться. Но если запустить менеджер задач (Task manager), то в нем будет видна работа программы MSIEXEC.EXE.

После окончания процесса установки требуется перезагрузить сервер (если это не произойдет автоматически). После перезагрузки с установленным пакетом Office 2000 администратор может произвести дополнительную настройку.

Специалисты Microsoft рекомендуют сделать следующее.

Во всех офисных программах отключить эффекты анимации при выводе пунктов меню. Например, для Word: «Сервис» -> «Параметры» -> «Общие» -> «Эффекты анимации». А также «Сервис» -> «Настройка» -> «Параметры» — «Эффект при выводе меню» -> «Нет».

Отключить автоматическую проверку орфографии и грамматики при вводе текста.

Отключить звуковые эффекты.

Удалить пункт меню «Найти и устранить» (Detect and Repair ).

Итак, опять все изменения направлены в первую очередь на уменьшение нагрузки на процессор и сокращение сетевого трафика.

После выполнения настроек нужно запустить программу Office Profile Wizard (из набора Office 2000 Resource Kit), которая сохранит полученную конфигурацию в файле с расширением OPS. Затем в системном реестре в разделе HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionTerminal Server InstallSoftwareMicrosoftWindows Current Version следует создать раздел RunOnce, а в нем параметр типа String с любым именем. В качестве значения нужно ввести строку «<путь> Proflwiz.exe /r /q», где <путь> — это путь к папке, в которой находится Office Profile Wizard, а — ссылка на файл, созданный с помощью Office Profile Wizard. В результате к каждому пользователю при открытии нового сеанса работы с терминальным сервером будут применены те настройки, которые администратор сделал в своем сеансе.

Дополнительно специалисты Micro-soft рекомендуют устанавливать права доступа к разделу реестра CLSID для тех пользователей, которые будут работать на данном терминальном сервере.

Делается это следующим образом.

Запускаем программу regedt32, открываем окно HKEY_CLASSES_ROOT, выбираем раздел CLSID, далее через меню «Безопасность» -> «Разрешения» (Security -> Permissions) добавляем соответствующих пользователей. Затем для этих пользователей назначаем особые (Special) разрешения: «Запрос значения», «Задание значения» и «Создание подраздела» (Query Value, Set Value и Create Subkey).

Теперь пакет Office 2000 готов к работе на терминальном сервере.

В предыдущей статье, посвященной Windows NT Server 4.0 TSE, мы подробно обсуждали преимущества использования терминальных служб.

Какие же новые возможности предоставляют терминальные службы в Windows 2000?

Сначала о достоинствах. Здесь прогресс налицо.

Во-первых, для пользователей. Один только совмещенный буфер обмена локальной системы и окна терминального сеанса уже заставляет обратить внимание на терминальные службы Windows 2000. Предоставляемая администратору возможность перехватить управление сеансом пользователя помогает оказать «скорую помощь» пользователям, у которых возникли какие-либо проблемы. А дополнительные приятные мелочи, вроде сопоставления локальных принтеров и дисков, еще больше усиливают хорошее впечатление о системе.

Во-вторых, для администраторов. Даже если не планируется использовать терминальные службы в режиме сервера приложений, обязательно следует установить их для удаленного управления каждым конкретным сервером и доменом в целом. Раньше администраторы UNIX гордились, что в сеансе telnet они имеют полное управление сервером. Теперь администраторы Windows 2000 получили ту же возможность, да еще с графическим интерфейсом (!).

Если же говорить о недостатках, то уж очень неуклюжа в данной реализации система лицензирования. У системного администратора нет почти никакой возможности самостоятельно управлять лицензиями — удалять ненужные лицензии, переназначать их на другие ПК, возобновлять для ПК, на которых заново переустановлена система. Прибавьте к этому необходимость звонков в британское подразделение Microsoft Clearinghouse и общение с его сотрудниками на их родном английском языке.

Будем считать это некоторой болезнью роста и надеяться, что по мере развития технологии работать с продуктом станет удобнее и проще.

(Окончание)

Юрий Власов - инженер отдела локальных и корпоративных сетей. ООО Информационно-технический центр "Ками-Север", г. Ярославль. Имеет сер-тификаты MCSE, MCT. С ним можно связаться по адресу: vlasov@kamisever.ru.

назад