Рисунок 1. С помощью Windows Server 2008 можно теперь публиковать приложения точно так же, как и в случае Citrix Presentation Server.Новые удаленные приложения (Remote Apps) могут предоставляться в рамках сеанса терминального сервера, причем пользователю создавать соединение между настольной системой и сервером не требуется. У Citrix подобная функция известна как «публикация приложений» (Application Publishing) (см. Рисунок 1). Для пользователя эта технология прозрачна: он не может определить, работает ли приложение локально, или идет сеанс с терминальным сервером. Можно даже изменять размер окна приложения, а приложение ведет себя так, будто оно установлено на компьютере. Тем самым повышается уровень безопасности, поскольку пользователи не получают доступа к рабочему столу серверного компьютера, а лишь устанавливают соединение с приложениями. Все приложения — как те, что находятся на клиентском компьютере, так и удаленные, располагающиеся на серве-ре, — могут обмениваться данными. К примеру, возможен перенос данных из приложения ERP на терминальном сервере через промежуточный буфер в локальную версию Excel.

ДОСТУП ЧЕРЕЗ WEB

Windows Server 2008 предоставляет доступ к терминальным службам через Web. К терминальному серверу (Terminal Server, TS) можно обращаться и через Internet. В таком случае функциональность напоминает Outlook Web Access от Exchange. После установки страница Web терминального сервера доступна по адресу URL http://<имя_сервера>/ts, при желании с шифрованием SSL посредством HTTPS. Сервер доступа Web к TS не обязательно должен быть терминальным, так как указанная служба лишь предоставляет страницу Web и переадресует запросы терминальным серверам.

Еще одна новая функция — шлюз терминальных служб. Он обеспечивает доступ к внутренним терминальным серверам для пользователей, связывающихся через HTTPS по Internet. Иначе говоря, для предоставления защищенного соединения с терминальными серверами шлюз TS соединяет протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) с HTTPS. Пользователям не нужно дополнительно подключаться через VPN или RAS. При необходимости администраторы могут указать, какие внутренние серверы или компьютеры, активируемые посредством RDP, будут доступны пользователям через Internet.

Шлюзы TS предоставляют доступ к сеансам RDP через брандмауэры или посредством преобразования сетевых адресов (Network Address Translation, NAT). Соединение между клиентом и шлюзом TS осуществляется через порт 443 (SSL). Порт RDP (3389) применяется лишь для внутреннего соединения между шлюзом TS и терминальным сервером. Ранее при блокировке порта 3389 пользователи не могли подключиться к терминальным серверам через Internet. С помощью сервера-шлюза TS в Windows Server 2008 обеспечивается доступ к терминальным серверам, установленным на Windows Server 2003, Windows 2000 Server и даже Windows NT 4.0 Terminal Server Edition. Кроме того, эта функция поддерживает доступ к удаленному рабочему столу Windows XP или Windows Vista. Однако клиентам необходимо использовать как минимум RDP Client 6.0. Оптимальный способ задействовать шлюз TS — публикация через ISA Server 2004/2006, аналогично функции RPC по HTTPS в Exchange Server 2003/2007.

В настройках шлюза TS отдельные файлы RDP удаленных приложений можно подписывать с помощью сертификатов. Таким образом клиенты из локальной сети или Internet могут определить, что приложению можно доверять. Однако в этом случае клиенту требуется RDP Client 6.1, входящий в Windows Vista SP1. Windows Vista без SP1 содержит версию 6.0.

Шлюзы TS поддерживают и новую функцию защиты сетевого доступа (Network Access Protection, NAP) в Windows Server 2008. Соединение между клиентами и терминальными серверами строится в соответствии с правилами на шлюзе TS. Microsoft их называет «правилами доступа клиентов к терминальным серверам» (Terminal Server Client Access Policies, TS-CAPs). Кроме того, существуют «правила авторизации на ресурсах терминальных серверов» (Terminal Services Resource Authorization Policies, TS-RAPs), определяющие, к каким серверам разрешается доступ клиентов. Если клиенты не соответствуют директивам, то сервер отказывает в соединении.

РАСПРЕДЕЛЕНИЕ НАГРУЗОК

Новый брокер сеансов терминальных служб (TS Session Broker) отвечает за повторное соединение пользователей с разорванными сеансами. Он особенно полезен при использовании технологии распределения нагрузок (Network Load Balancing, NLB). NLB объединяет несколько систем в один кластер и распределяет входящие запросы TCP/IP по разным серверам. Это решение ориентировано, прежде всего, на серверы Web, а также на терминальные службы. TS Session Broker сохраняет имя пользователя, идентификационный номер сеанса, а также сведения о терминальном сервере, с которым пользователь был соединен. Однако для повторного соединения пользователей с их сеансом на соответствующем терминальном сервере требуется, чтобы все серверы работали в фермах с балансировкой нагрузки (Load Balancing Farm) под управлением Windows Server 2008. Эта функция не поддерживает смешанное окружение с Windows Server 2003.

Благодаря интеграции Windows System Resource Manager (WSRM) в Windows Server 2008 можно напрямую выделять ресурсы процессора и оперативной памяти отдельным приложениям, службам или процессам. Это позволяет избежать ситуации, когда некритичные приложения на сервере тормозят другие приложения. А в целом технология улучшает производительность терминального сервера под управлением Windows Server 2008. Управление ресурсами на терминальном сервере осуществляется посредством различных директив для WSRM.

Вопрос печати в терминальных службах — горячая тема еще со времен Windows NT 4.0 Terminal Server Edition; он касается многих администраторов и в случае с Windows Server 2008. С момента появления Windows NT 4.0 Terminal Server Edition Microsoft последовательно улучшала интеграцию принтеров в среду терминальных серверов. Ряд изменений внесен и в Windows Server 2008. Одно из нововведений — Terminal Services Easy Print Driver, позволяющий передавать на клиента задания для различных принтеров. Драйвер поддерживает множество принтеров, так что нет необходимости в установке большого количества драйверов на терминальном сервере.

Для работы Easy Print Driver должен быть установлен клиент RDP 6.1. Дополнительно универсальному драйверу требуется .NET Framework 3.0 Service Pack 1. Этот драйвер поддерживает все функции совместимых принтеров, не только базовые. Кроме того, он улучшает производительность при передаче заданий на печать. Для этого на сервере отображается, но не инсталлируется драйвер клиента. Если во время сеанса пользователю понадобятся услуги принтера, драйвер переводит задание в файл XPS и отправляет его клиенту, который распечатывает документ.

Клиент автоматически связывает доступные совместимые принтеры с сервером. Необходимую переадресацию принтеров можно настроить в клиенте RDP: эти функции конфигурируются во вкладке «локальные ресурсы». Если корпоративные принтеры не поддерживают новый драйвер Terminal Services Easy Print Driver, то Windows Server 2008 использует файлы отображения принтеров (Printer Mapping Files) — опцию, появившуюся еще в Windows 2000 Server: с помощью специального файла нескольким принтерам назначается один и тот же драйвер на сервере. Дополнительную информацию можно получить по адресу http://support.microsoft.com/kb/239088/en-us.

В Windows Server 2008 имеются новые возможности для управления интеграцией принтеров с помощью групповых директив. Администраторы смогут найти большинство необходимых настроек в редакторе объектов директив, располагающемся в разделе «конфигурация компьютера/административные документы/компоненты Windows/терминальные службы». Управление принтерами находится в подменю «терминальные серверы/переадресация принтеров». Кроме того, здесь осуществляется настройка драйвера Easy Print. Директива «вначале драйвер терминальных служб Easy Print для принтеров» устанавливает, что терминальный сервер сначала будет использовать этот драйвер, прежде чем инсталлировать какой-либо другой.

В любом случае терминальный сервер по умолчанию будет использовать драйвер Easy Print в первую очередь. Если этот драйвер не поддерживается принтером, терминальный сервер локально ищет подходящий драйвер, так как без него соответствующий принтер будет недоступен. Последняя директива не настроена по умолчанию. Если данная настройка деактивирована, сервер сначала пытается найти драйвер, совместимый с принтером, и только затем применяет драйвер Easy Print.

Терминальные серверы под управлением Windows Server 2008 могут использовать в терминальных сеансах значительно большее количество устройств подключенного клиента. Терминальные службы теперь поддерживают более высокие разрешения, к примеру, 1680х1050 или 1900х1200. Кроме того, новый клиент поддерживает решения с несколькими мониторами: функция Monitor Spanning позволяет развернуть терминальные сеансы на несколько экранов; максимальное разрешение: 4096х2048. Помимо традиционных разрешений в формате 4:3, Windows Server 2008 поддерживает форматы 16:9 и 16:10.

Функция «отображение рабочего стола» предоставляет пользователям в терминальном сеансе такой же интерфейс, как в Windows Vista. Однако аппаратное обеспечение клиента, в отличие от сервера, должно поддерживать графический интерфейс Aero. Эта функция содержит также фотогалерею Windows и Windows Media Player 11. Кроме того, доступны темы для рабочего стола, и в таком случае сеансы выглядят как рабочие места, оснащенные Vista.

Еще одна функция — сглаживание шрифтов на клиенте RDP, благодаря чему сеанс терминального сервера лучше отображает шрифты Clear Type, у которых получаются более четкие контуры и сглаженные края. Каждый пиксель шрифта состоит из трех частей: красной, синей и зеленой. Функция Cleartype улучшает разрешение за счет активации и деактивации отдельных цветов в пикселе. Без Cleartype пришлось бы активировать или деактивировать весь пиксель. За счет более точного управления пикселями повышается четкость, особенно на ЖК-мониторах. По умолчанию клиент RDP 6.0 использует 32-разрядную глубину цвета. Такой режим — наиболее компромиссный вариант как для отображения, так и для сетевого трафика. Снижение до 24 или 16 бит не приносит преимуществ в плане скорости, но существенно ухудшает качество изображения.

Аутентификация осуществляется не через форму регистрации на сервере, а сначала на клиенте RDP пользовательского компьютера, что существенно снижает нагрузку на сервер и сеть, поскольку новая технология позволяет производить аутентификацию перед загрузкой рабочего стола.

Такие локальные устройства, как цифровые камеры, переадресуются клиентом RDP на терминальный сервер. Теперь эта функция работает гораздо лучше, чем в Windows Server 2003. Устройства можно переадресовать и во время текущего сеанса
с терминальным сервером.

Терминальные службы Windows Server 2008 резервируют 70% пропускной способности для передачи графического трафика и команд
с клавиатуры и мыши. Принтер, промежуточный буфер и все остальные функции получают лишь 30% пропускной способности. Указанные настройки находятся в ключе реест-ра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD.

Windows Server 2008 поддерживает сценарии однократной регистрации (Single Sign-on, SSO). Эта функция предполагает использование Windows Vista в качестве клиента. Кроме того, обе системы должны находиться в одной Active Directory. Соответствующие параметры конфигурируются системным администратором в настройках терминальных служб на сервере.

Томас Йоос — независимый профессиональный консультант по ИТ. Он консультирует средние и крупные предприятия по вопросам построения сетей Microsoft, Active Directory, Exchange Server и безопасности ИТ.


© AWi Verlag


Citrix XenApp против Microsoft Server 2008

С тех пор как Citrix продала Microsoft свою технологию терминальных серверов и стала надстраивать свои решения MetaFrame (сейчас — Citrix Presentation Server, в будущем — XenApp) на терминальные службы Windows, компания пребывает в состоянии некоего симбиотического состязания с разработчиками из Редмонда: часть функций уже поставляется вместе с Windows Server, но Citrix дополняет их многочисленными полезными расширениями. Партнеру Microsoft всегда удавалось сохранять свое превосходство и регулярно его подтверждать. Осенью ожидается выход XenApp в качестве расширения к Windows Server 2008; согласно заявлениям Citrix, он предоставляет множество улучшений по сравнению со стандартным продуктом из Редмонда.

Вильхельм Грайнер

Таблица.