终端服务实践操作-课程高级

课程方向：终端服 难度等级：高 课程编号：AT-TS-终端服务应用优化与问题分目 第一节如何开发更兼容终端服务的应用程 学习目 课程内 一 前 二 三 四 五 六 第二节如何通过分析进出终端服务器的TCP/IP数据包定位问 学习目 课程内 一 前 二 三 四 如何监测 终端通过RDP连接终端服务器数据包查 五 学习目 课程内 一 前 二 大型NLB环境下的用户配置文件配 加速RDP或ICA的响应速 三 第四节通过事件查看器Windows运行状态及诊断Windows故 学习目 课程内 一 概 二 审计用户对终端服务器的登录及情 三 第五节终端服务器故障排除简 学习目 课程内 一 前 二 验证终端服务器已正确安装在证服务器 验证证服务器是否已激 验证证服务器有足够数量的CAL用于客户 验证终端服务器上的终端服务器模式与证服务器上CAL的类型相符（仅适用于WindowsServer2003及WindowsServer 验证终端服务器上的通过验证的用户组拥有相应的权 验证WindowsServer2003系统中RestrictAnonymous表项的 验证证服务器是Enterprise证服务器时在ActiveDirectory中存TS-License-Server对 三 四 五 概 Windwos2000域：Windows2000终端服务器和Windows2000证服务Windows2000域：Windows2000终端服务器和WindowsServer2003 Windows2003域：Windows2000终端服务器和Windows2000证服务Windows2003域：Windows2000终端服务器和WindowsServer2003 Windows2003WindowsServer2003终端服务器和WindowsServer证服务 概 六 第一节一、Client/Server模式（包括使用微软的终端服务及CitrixMetaframe等。虽说传统的基于统的执行效行及应用系统的兼容性，微软对ThinCleinet/Server环境下的应用系统开发提出ThinClient/Server模式影响系统性能的瓶颈因从某种意义上说，微软的微软服务/瘦客户机模式与传统UNIX主机/终端模式有着很多如对鼠标的支持，在Windows终端服务中就必须给予支持，而在UNIX主机/终端环境中就需要进行硬盘读写，如果用户数据被写在硬盘上的同一位置，就很容易产生。ThinClient/Server环境中，网络因素是很关键的一个因素，任何用户的交互32位应用系统时，需要遵循一系列规则，这包括一系列的开发规范及开发指南，这样才能保证所开发的应用系ThinClient/Server环境中很好的运行。32位架构开发创建，包括所有可执行程序、动态库和公共组件。可执行程序必须以PE（PortableExecutable）格式必须标记成可共享的，这样不同用户要用共享使用所加载的组件。在开发及制作安装程中，建议使用标准安装选项，如使用标准程序安装目%HomePath%环境变量来体现。正常情况下，如果用户配置文件中未对家进行配置，该变量的值通常为\sandSettings\<Username>。可通过修改用户配置文件及家路径进行修改。准的API能达到较好的效果，下面列出几项主要注意事项：录下，统一将这些设置数据保存在“%SystemDrive%\sandSettings” s”下。这种做法的好处在于可以将“Mys”重定向到任何一个物理位置，且应用程序可通过 WindowsNT技术的操作系统一般不允许用户使用Win.ini,System.ini,建议您通用使用相关的API函数来存取这些.ini文件（如使用GetPrivateProfileString函数。器的机器名和IP地址，然而在终端服务环境中，这些标准函数所获得的信息仍然是若您实在要通过机器名或IP地址来标识用户，则必须通过使用“Windows终端”厂取当前会话用户客户端机器的IP地址及机器名等信息。在系统中给予存取特定组件的权限，如“资源管理器”和“InternetExplorer”，然要求应用对文件或的操作支持长文件名和通用命名规则（UNC：universalnamingconventions）形硬件资源的函数或过程，如通过使用这种方法来在应用窗口上层叠两张或达果，为了避免这些可能存在的问题，图形只能通过显存来创建，并在完成四、验应用系统的兼容前面提到了一些开发传统32位应用程序的一些，那么对于开始完成的应用系统如何来验证这些应用系统的兼容性呢？Windows应用系统兼容性测试工具可以帮我们这个忙。它包括几个可用于WindowsServer2003、WindowsXP、Windows2000的测试工具。该B、对收集的数据进行分析的工具CompatibilityAdministrator是兼容性测试工具中的另一个重要组件，该工具用于在WindowsServe2003、WindowsXP、Windows2000环境下测CompatibilityAdministrator工具将对已添加到列表的应用系统进试并做标AppVerifier工具即停止运行，CompatibilityAdministrator界面列表的应用系统仍继续监控，非您该应用系统从列表删除。CompatibilityAdministrator界面如下图所示：当我们开发基于Framework32位应用系统时所应Framework程序，遵循前面所提到的注意事项在.NET框架系统中，应用系统逻辑由IntermediateLanguage中 sandSettings\<UserName>”。 六、终端服务编程接口简API函数。这些API通常使用标准的RDP通道来通讯数据。用户还可以通过调用API函数来建立终端服务器与RDP客户端之间的虚通道连接。有关库文件及头文件的相关说明在TerminalServerSDK中有说细说明。TerminalServerSDK是PlatformSDK的一部分。BOOL INHANDLEhServer,OUTLPWSTR*ppBuffer,OUTDWORD*具体如何调用请参考MSN中的相关说明，该函数调用时需用到如下几个文件这些文件是Windows提供的，可到网上TCP/IP数据包定一、主要介绍如何利用数据包监测软件（就是我们常说的抓包工具来检测系统问题及网络问题。本文通过使用一个流行工具软件来分对网络数据进行分析，学会在TCP/IP网上监二、么是数据包监测数据包监测：您可以理解为“”或叫“”。也就是说，利用HUB或交换机的的数据包。如你在网络上，正与其它计算机互传数据，如Window终端通过RDP协议连接器（HUB）、交换机或路由器。在使用HUB的情况下，数据包监测工具就很容易截获这些目的地址和源地址）。数据包的数据部分包含真正需要的数据信息部分（它可能是RDP协HUBHUB据包。这个混合模式选项恰好被数据包监测程序利用来实现它们的功能。三、什么监测产品由WidPackts(以前的AG)的EtherPeek。EtherPeek已经存在了10年，堪称互联网时代真正的恐龙。他们提供o版和cts该工具功能与EtherPeek相当，使用方法略四、何监测本文将以Server2003自带的“网络监视器”为例进行介绍。但同样的概念和说明：使用Server2003自带的“网络监视器”进行时，只能查看本机发 ”开始抓包，结束后，点击其中的“ ”图标结束， 广播包进行查看（终端MAC地址为：00D0F81A7EB6）。从中我们可以看出，终端以端口5000为目标端口发出广播包（注：该广播包为升腾终端多教育软件客户端（基于CE）在应用过程中，有出现客户端RDP无法连接到终端服务器、不能加载漫游配置文件等情况，在这种情况下可以通过在终端服务器上开启数据包工具并查看是否收到客户的RDP连接数据包以及终端服务器与服务器、文件服务器等之间的数据包来分析定位问题所在，下面是查看客户端与终端服务器之间的RDP通讯数据包的过程。点击“删除”将不想的地址删除，如这里我们只想终端服务器（1921683027）（9.6..0）7，终端IP09，数据包方向为双向，以上过程是一台终端通过DPWOD文档的过程监视。从上图可以看出，监视过程1分30秒，数据流量才600K，平均带宽占用是6.67KB，10KB（字节）RDP客户端连接到终端服务器需要的带而ICA服务器的默认端口则为1494，从下图可以看出。五、见问题的分析探EtherPeek等工具监DNSAD本身有问题，是造成这种现象的原因之一。但网络问题也可能是服务器与DNS服务器及域控制器之间的数据通讯情况。终端的连接请求，对于这种情况，通过终端服务器上的“网络监视器”或EtherPeek等工具第三节Windows终端服务器配置优化与登录限制问题排一、是，这并不一定是最佳的配置。毕竟o2000ServeroServer2003二、终端服务器的几项设置Dr.WatsonDr.WatsonDr.Waston们只要删除HKLM\Software\\WindowsNT\urrentVrsion\AeDbug\Debuggr当然也可以通过删除\\DrWtson键来达到目的。如下图所示。oe\\nornivRsng键下。 tHo\cgt\idoeniApPaths,Mfe\weror eSpace,\\Windows\urrentVrsion\SharedDLs,t\ndwnsn\sl以及从w重定向过去的表部分.可以.inf文件可以o%h Windows系统中，已经为我们准备了专门用于终端服务的定时重启或关同工具Tsshutdndws3TsShutdn120YErSCServer\WinStations\eo>\UserOverride\Controlope>uR::::位是ms）SooSol:a:c:虽然我们可以在“终端服务配置”中指定“限制每个用户只使用一个会话”，如下图当我们创建NLB环境时，通常会将用户 然而在大型的NLB方：通改表进改在表HKLM\SOFWARE\\WindowsNT\CurrentVrsion\Winlogon下手动创建DWOR0x1情况下，我们可以通过修改部分表值来提高响应速度，这个修改对RDP或C连接均端服务中（RDPICA中均有效），为了减少网络传输数据包的数量，终端服务并不是在aMunotStnevd\fa和StrSorrifla两个地方的值都必须修改。.I连接中MSons\\pa和StrSorSrOtD三、终端服务器可能遇见的问题及处理方在Windows2000Server和WindowsServer2003中，为了防止，系统对同是在终端服务器上安装LotusNotes等客户端的情况下更容易出现。对于上述问题，可以通过修改两个表值来解决。具置如下：HKLM\System\CurrentControlSet\Srvices\LanmanSrvr\Parametrs名称：Wrm类型：DWORD值：C 类型DWORD值rt值决定了一台服务器可以同时接受的输入缓冲区的大小。Mx第四节通过事件查看器Windows运行状态及诊一、Windows2000Server、WindowsServer2003、WndowsServer2008二、过事件查看器您可对、用户登录等事件进行审核，管理员可以通过在组策略中设置开启审核，如下图表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID6005事件查看器中发现某日的事件ID6006微软知识库文章由微软公司资料和微软MVP撰写的技术文章组成，主要解决微软应的KB文章分析这项错误的解决方案。微软知识库地址:http://sup 网页中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关 ,三、一个实际问题的分析处理举终端用户登录WindowsServer2003时提示“系统资源不足，无法完成请求的服务”。1描述：Windows不登录，因为不能加载您的配置文件。请检查您是否连接到网2ID要解决此问题,请修改表中的 um值和nManager\MemoryManagement60PagedPoolMax60%而不是默认设置80%时开始修整过程。如果60％的阈值不足以处理活动中的，请将此设置减小到50％或40％。PagedPoolSize0xFFFFFFFF可为计算机分配最大的页面缓冲池以取代其第五节终端服务器故障排除简一、 有关可用于帮助您排除“终端服务器”故障的资源的完整列表，请参阅本部 二、为排除终端服务器故障而进行的计算机设置验只有被管理的计算机中“Administrators”组的成员才能修改“终端服务器”设置。安装操作系统的关键更新和安全更新运行WindowsServer2000的证服务器无法向运行WindowsServer2003/2008操作系统的终端服务器客户端证(CAL)。运行WindowsServer2003操作系统的证服务器可以向运行WindowsServer2000或WindowsServer2003的终端服务器CAL，或向混合环境注意

WindowsServer2000WindowsServer2003的终端服务器CAL。运行WindowsServer2008操作系统的证服务器可以向运行WindowsServer2000或WindowsServer2003/2008的终端服务器CAL，或向混合WindowsServer2000WindowsServer2003/2008的终端服务器CAL。建议不要在压缩驱动器上安装“终端服务器”，因为这会导致证服务数据库损坏。证服务器数据库的默认位置是serotSyt32er。如果证服务器数据库损坏，则必须卸载“终端服务器”，然后重安它如在载终服务器”随重安它遇到题则能联系anhu。需求已得到满足。有关信息，请参阅“了解特定终端服务器环境的故障排除注意事项”。验已确验端器服启启型为动验服已动验证服务器否已激活“WindowsServer2003终端服务”支持下列模式“每设备”和“每用户”。“每设备”CAL会为每个客户端计算机或设备授予运行WindowsServer2003的终端服务器的权限。“每用户”CAL会为一个用户授予从不限数量的设备终端服务器的权限。如果使用“每用户”，则在终端服务器发现证服务器之后，服务器之间将不验证证服务器有足够数量的CAL用于客户您可以使用“终端服务器”来验证终端服务器是否有足够数量的永久性“每设备”CAL来支持需要进行连接的客户端数。使用“每设备”时，在临时证过期之后，只有在证服务器可以永久性CAL，或终端服务器仍处于宽限期时，客户端才能连接到终端服务器。有关如何验证证服务器拥有的CAL数量的分步说明，请参阅“验证证服务器拥有足够数量的CAL”。终端服务器不强制执行“每用户”CAL。因此，无论安装了多少个证，都可以进CAL这一“最终用户协议”(EULA)要求中删除。在不使用“每设备”CAL的情况下，WindowsServer2003“您可以使用两种不同的TSCAL：‘设备’和‘用户’。每个‘TS设备AL’允许一（）Wndows会话’。每个‘TS用户CL’允许一个‘用户（使用任何‘设备’）在您的任一‘服务器’上进行‘Windos会话’。您可以将‘TS设备AL’和‘TS用户AL’同时用于您环境中的‘服务器软件’。您可以有每用户证‘每设’（默）式的‘终服务器请求，不能在运行WindowsServer2003ServicePack1(SP1)的证服务器上，终端服务器”工具“总数”列和“可用”列中不再显示“每用户”证的数值，而是显验证终端服务器上的终端服务器模式与证服务器上CAL的类型相符（仅适用WindowsServer2003WindowsServerB、使用组策略（WindowsServer2003ServicePack1或以后的版本）服务器的组策略对象(GPO)，则组策略中显示的模式可能无效。因此，更直接的方法端可工终器过证户须具有下列两种权限“从网络此计算机”和“绕过遍历检查”。默认情况下，唯一定义网此机限略是默器略员和组中器从计”在本全中。如果未将WindowsServer2003终端服务器与基于WindowsServer2003的证服务器一起使用，请验证证服务器中RestrictAnonymous表项值的设置为0或1。在此应用场景中，如果该表项值设置为2(0=无（依赖于默认权限）1=不允许枚举SAM帐户和共享2=没有显式权限就无法)，证服务器将无法CAL。当含Everyone组，因此，该令牌也不再可以向Everyone组授予权限的资源。验证证服务器是Enterprise证服务器时在ActiveDirectory中存在TS-License-Server对象A、检查Role表项击“开始”和“运行”，再键入regedit，然后单击“确定”。如果该表项值设置为0，则表示证服务器是 该表项值设置为1，则表示证服务器是Enterprise证服务器。BActiveDirectoryTS-Enterprise-License-Server如果证服务器是Enterprise证服务器，则ActiveDirectory中必须存在TS-Enterprise-License-Server对象。击“ActiveDirectory站点和服务”。右键单击“TS-Enterprise-License-Server”，然后单击“属性”。“TS-Enterprise-称为DN）。例如：CN=TS-Enterprise-License-Server,CN=<SiteName>,CN=Configuration,DC=< 三、终端服务器快速故障排除方如果运行的是WindowsServer2003终端服务器，则使用“添加或删除程序”中的“Windows组件向导”添加或删除Windows组件后，终端服务器上Core\PolicyAcOn子项中设置的一个表值可能会变得无效。这个无效值可能会意外地更改“终端服务器”模式，并使终端服务器只获得临时证。要解决此问题，请联系 上知识库文章834651终端服务添加或删除Windows组件后从每用户或每设备模式更改为一个无效值 /fwlink/?LinkId=48173)中所述的修补程序。该修补程序应用于终端服BWindows的终端设备（瘦客户端）Windows的终端设备尝试连接到终端服务器时，如果存在下列情况，连接可能I、更新了基于Windows的终端设备的电可擦可编程只读器 IV、安装了网站上知识库文章287687终端服务授权增 )“产品支持服务”，获得知识库文章287687中所述的修补程序，以对终端服务器和证服务器之一或两者应用修补程序。有关如何与“产品支持服务”取得联系的信息，请参阅网站上的帮助和支持 /fwlink/?LinkId=48149)。如果使用的是CitrixICA客户端，可能还需要联系Citrix以获得相应的修复程序。CWindows2000Windows2000务器在具有Windows2000终端服务器和WindowsServer2003证服务器的环境中，即使证服务器上安装了Windows2000客户端证(CAL)，连接到Windows2000在证服务器中自动安装CAL。客户端计算机可以从WindowsServer2003终端服务器临时证成功升级到WindowsServer2003终端服务器永久性CAL。存在，请联系“产品支持服务”，以获得上知识库文章837211客户机无法从WindowsServer2003终端服务服务器获取永久性Windows2000终端服务客户证(CAL)(http: /fwlink/?LinkId=48146)中所述的修补程序，然后对证服务器应用该修补程序。有关如何与“产品支持服务”取得联系的信息，请参阅网站上的帮助和支 四、为排除终端服务器故障而配置计算在WindowsServer2003系列中，使用下列工具可以帮助您监视“终端服务器”的可以使用“终端服务器”工具来查看下列信息：安装的客户端证密钥包的列表、每个客户端证密钥包中证总数及每个密包中可用和已证的数量对每台计算机CL的日期；每个CL到的计算机的名称；每个临时证的日到期及证到算的。如果运行的是Windows2000证服务器，则仅当安装了ServicePack3(SP3)或更执行下列管理任务：激活证服务器、安装、重新激活证服务器、停用许可证服务器、重复执行的安装，然后更改证服务器的属性。TerminalServicesLicensingReporter(Lsreport.exe)创建一个报告，其中包含有关证服务器中安装的CAL的信息。Lsreport.exe会将证服务器数据库信息有助于给特定客户端设备的CAL。要epr.e，请参阅中心上的WindowsServer2003ResourceKitols（英文）(t flknI2)(可以使用ermnaServicescesServere(ee来执行下列显示当前域和站点中每个证服务器的名称、域中每个证服务器的类要Lsvie.x，请参阅 ResourceKitools（英文）(http: III、erminalServerClietLienseTest工具可以使用ernaServerClLesTest工具显示有关驻留在客户端设备中的CAL的信息。默认情况下，此工具在下列字段中显示信息：r”（颁发者）、o”（范围）、“Issuedtocmpr”（接受颁发的计算机）、setour（接受颁发的用户）、e（证D）、“y/er（类型/版本）、“alFrom”（有效期起始日期）、xp”（有效期终止日期）.xe， ndwsResourceKitool英文）(t /fk/k)。erminalServicesgoUtilt(Tstst.exe)可以使用erminalServicesanstilt五、对终端服务器问题进行故障排和升级问题。下列各提供了用于解决这些问题的故障排除步骤。此外，还对WindowsServer2003中“终端服务器”的一些重要更新（包括针对ServicePack1的A、针对终端服务器的WindowsServer2003更以下内容针对的是WindowsServer2003中“终端服务器”的重要更改，其中包括针对ServicePack1(SP1)的更新。Wndowserer003证Wndowserer203中提供两种类型的客户端证(AL)：“每用户”和“每设备”。“每设备”CAL会为每个客户端计算行WndowsSrvr203的终端服务器的权限AL一个用户授予从不限数量的设备终端服务器的权限。在这种情况下，只需要一个AL，而不AL。激活，并至少有一个“每设备CAL”安装在该证服务器上且尚未，则终端服务器会向客户端一个永久的“每设备CAL”。不过，终端服务器不强制执行“每用户CAL”。将不会升级为永久性CAL。器”模式与您并安装在证服务器上的CAL的类型相符。通过使用“终端服务配置”或“组策略”（如果使用的是WindowsServer2003SP1），可以验证“终端服务器”模式是否与的CAL的类型相符。WindowsServer2003中终端服务器所需的证要使WindowsServer2003终端服务器可以正常工作，您所在环境中必须至少有一台WindowsServer2003证服务器。尽管须获取有效的WindowsServer2003终端服务器CAL，才能登录到WindowsServer2003终端服务器。所说的客户端包括WindowsServer2003客户端。目前，可供的所有终端服务器CAL都是WindowsServer2003终端服务器CAL。如果将Windows2000终端服务器与WindowsServer2003证服务器一起运行，则Windows2000终端服务器可以使用WindowsServer2003“每设备”CAL或Windows2000CAL。通过致电Clearinghouse并申请将CAL降级到Windows2000，可以将这些CAL降级。有关详细信息，请参阅 上的WindowsServer2003DowngradeRights（英文 /fwlink/?LinkId=48210)和查找您所在国家或地区Clearinghouse 请注意，Windows2000证服务器无法安装或WindowsServer2003终端服务器CAL。WindowsServer2003中延长了终端服务器宽限期在Windows2000中，“终可证服务器其第一个永久性CAL之时或120天之后（以先到来者为准。WindowsServer2003ServicePack1的新组策略设置WindowsServer2003SP1包括下列针对“终端服务”的新“组策略”设置：TSCC.msc设置终端服务器模式这个新的“组策略”设置决定设备或用户连接到终端服务器所需的“终端服务器CAL”的类型。启用该设置时，可以选择下列两种模式之一：“每用户。连接到终端服务器的每个用户都必须有每用户终端服务器CAL。“每设备”。连接到终端服务器的每个设备都必须有每设备终端服务器CAL。如果启用此策略设置，则所指定的模式会替代在安装过程中或在“终端服务配置”(TSCC.msc)中指定的模式。如果禁用或不配置此策略设置，则“终端服务”会使用在务器显问的提通这新“策略”，在理登终服务器之后显终端服器存在的何问的“工具提示”，以及显示终端服务器宽期到日。果置“策略””将由表由于管理员可以配置全局终端服务器模式，因此管理员可以实现统一的证策Windwos2000域：Windows2000终端服务器和Windows2000证服务A、在此环境中，必须在域控制器上安装“终端服务器”。尽管不需要显式地指证服务器，但仍建议您这样做。有关详细信息，请参阅“设置首选的证服务器”C、还要对证服务器应用上文章837321：如果WindowsServer2003终端服务许可证过期，无法连接到Windows2000终端服务器 /fwlink/?LinkId=48215)中所述的修补程序”。D、在终端服务器上，应用上文章829395：Windows2000中调用TSShutdn.exe命令时终端服务器不会自动关闭 /fwlink/?LinkId=48216)中所述的修补程序。E、由运行Windows2000ServicePack3或更高版本的证服务器的终端服务器许可证有到期日期。将按长度为52天到89天之间的随机间隔重新证或将前的七天被续期。由运行较早版本Windows2000的证服务器的任何终端服务器证都没有到期日期。要将这些证返回CAL池，必须从客户端删除证证书，然后致电Clearinghouse以恢复证。要从客户端删除证，请删除下列表项：HKEY_LOCAL_MACHINE\Software\\MSLicensing。没Windows2000域：Windows2000终端服务器和WindowsServer2003证服务nowserer2003ndwsrr003器”。如果在域控器上安装“终端器”，则不需要显地指定供终，”。B、如果终端服务器运行的不是Windows2000SP4，请安装该服务包。要SP4，请参 网站上的Windows2000ServicePacks（英文） C如果此环境中有瘦客户端，请在WindowsServer2003证服务器上应用网站上文章88450：当试图从基于WindowsServer2003-终端服务器获取证瘦客户记录事件ID1004(http: /fwlink/?LinkId=48217)中所述的修补程序。D、如果此环境中有运行Windows2000或WindowsXPProfessional的客户端，证服务器会从其内置池一个“免费”的“终端服务CAL”，以使这些客户端能够Windows2000终端服务器。根据Windows2000EULA的规定，允许使用此证。但对于WindowsServer2003终端服务器，没有免费证的内置池。必须在证服务器上安装相应数量的CAL才能使所有客户端都连接到这些终端服务器。Windows2003域：Windows2000终端服务器和Windows2000证服务A、如果证服务器和终端服务器运行的不是Windows2000SP4，请在这两台计算机上都安装该服务包。要SP4，请参阅上的Windows2000Service B、在Windows2000证服务器上，应用上文章837321：如果WindowsServer2003终端服务许可证过期，无法连接到Windows2000终端服务器 /fwlink/?LinkId=48215)中所述的修补程序。E、在Windows2000终端服务器上，应用上文章829395Windows2000中调用TSShutdn.exe命令时终端服务器不会自动关闭 /fwlink/?LinkId=48216)中所述的修补程序。Windows2003域：Windows2000终端服务器和WindowsServer2003证服务A、如果终端服务器运行的不是Windows2000SP4，请安装该服务包。要SP4，请参 网站上的Windows2000ServicePacks（英文 B如果此环境中有瘦客户端，请在WindowsServer2003证服务器上应用网站上文章88450当试图从基于WindowsServer2003-终端服务器获取证瘦客户记录事件ID1004(http: /fwlink/?LinkId=48217)中所述的修补程序。C、如果此环境中有运行Windows2000或WindowsXPProfessional的客户端，证服务器会从其内置池一个“免费”的“终端服务CAL”，以使这些客户端能够Windows2000终端服务器。根据Windows2000EULA的规定，允许使用此证。但对于WindowsServer2003终端服务器，没有免费证的内置池。必须在证服务器上安装相应数量的CAL才能使所有客户端都连接到这些终端服务器。Windows2003域：WindowsServer2003终端服务器和WindowsServer2003证服务AWindowsServer2003WindowsServer2003成员服务器上安装“终服务器发现的证服务器。不过，为有助于确保证服务器发现按预期方式工作，仍建议执行该操作。有关如何执行该操作的信息，请参阅“设置首选的证服务器”。B如果此环境中有瘦客户端，请在WindowsServer2003证服务器上应用网站上文章88450当试图从基于WindowsServer2003-终端服务器获取证瘦客户记录事件ID1004(http: /fwlink/?LinkId=48217)中所述的修补程序。Windows2008域：Windows2000终端服务器和Windows2000证服务A、如果证服务器和终端服务器运行的不是Windows2000SP4，请在这两台计算机上都安装该服务包。要SP4，请参阅 上的Windows2000ServicePacks B、在Windows2000证服务器上，应用上文章837321：如果WindowsServer2003终端服务许可证过期，无法连接到Windows2000终端服务器 /fwlink/?LinkId=48215)中所述的修补程序。E、在Windows2000终端服务器上，应用上文章829395Windows2000中调用TSShutdn.exe命令时终端服务器不会自动关闭 /fwlink/?LinkId=48216)中所述的修补程序。Windows2008域：Windows2000终端服务器和WindowsServer2003证服务A、如果终端服务器运行的不是Windows2000SP4，请安装该服务包。要SP4，请参阅网站上的Windows2000ServicePacks（英文） B如果此环境中有瘦客户端，请在WindowsServer2003证服务器上应用 站上文章88450当试图从基于WindowsServer2003-终端服务器获取证瘦客户记录事件ID1004 C、如果此环境中有运行Windows2000或WindowsXPProfessional的客户端，证服务器会从其内置池一个“免费”的“终端服务CAL”，以使这些客户端能够Windows2000终端服务器。根据Windows2000EULA的规定，允许使用此证。但对于WindowsServer2003终端服务器，没有免费证的内置池。必须在证服务器上安装相应数量的CAL才能使所有客户端都连接到这些终端服务器。Windows2008域：Windows2000终端服务器和WindowsServer2008证服务A、如果终端服务器运行的不是Windows2000SP4，请安装该服务包。要SP4，请参 网站上的Windows2000ServicePacks（英文） B、如果此环境中有运行Windows2000或WindowsXPProfessional的客户端，证服务器会从其内置池一个“免费”的“终端服务CAL”，以使这些客户端能够Windows2000终端服务器。根据Windows2000EULA的规定，允许使用此证。但Windows2008域：WindowsServer2003终端服务器和WindowsServer2003证服务AWindowsServer2003WindowsServer2003成员服务器上安装“终服务器发现的证服务器。不过，为有助于确保证服务器发现按预期方式工作，仍建议执行该操作。有关如何执行该操作的信息，请参阅“设置首选的证服务器”。B如果此环境中有瘦客户端，请在WindowsServer2003证服务器上应用网站上文章88450当试图从基于WindowsServer2003-终端服务器获取证瘦客户记录事件ID1004(http: /fwlink/?LinkId=48217)中所述的修补程序。Windows2008域：WindowsServer2003终端服务器和WindowsServer2008证服务A、ndwsrr208ndwserer008器”。如果在域控制器上安终端服务器摂，则需要显地指定供终作，仍”。Windows2008域：WindowsServer2008终端服务器和WindowsServer2008证服务AWindowsServer2008WindowsServer2008务器发现的证服务器。不过，为有助于确保证服务器发现按预期方式工作，仍I、事件ID26：您的终端服务临时客户端证将在N天内过期K、事件ID1026：终端服务器在该域中找不到证服务器RDP-tcp 验证RestrictAnonymous表项的值验和”删除客户端的MSLicensing表项并验证rebuilt项的权限。要记住，配置要求因环境而异。有关特定于环境的配置要求和注意事项的信息，请参阅之间没有任何必要端口的。终端服务器通过端口135和1024以上的动态信息，请参阅上的如何配置与一起使用的RPC动态端口分配 此外，为确保客户端可以与终端服务器建立连接，请验证TCP端口3389是否处于打开状态并在监听终端服务器和客户端。为此，可以使用net /fwlink/?LinkID=48892)或Portqry之类令。在命令提示符处，通过使用以下内容在各计算机之间依次运行命令： NetBIOSIP地址（如果有任一命令失败，则验证网络上的DNS配置 内其他域的证服务器，这种行为也可能强制这些终端服务器使用广域网(WAN)连接来A、使用终端服务器（在WindowsServer2003上务器计算机帐户必须是该组的成员。如果启用此“组策略”设置并将其应用于证服务器，即验证终端服务器是否可以发现证服务器（在WindowsServer2003上打开“终端服务器”。要打开“终端服务器”，请依次单击“开始”和“终端服务器”打开时，它会发现工作组或域中的所有证服务器（并在ActiveDirectory中搜索Enterprise证服务器然后在控制台树中显示这些服务器在“操在“服务器”中键入要连接到的证服务器的名称，然后单击“确定”B、使用终端服务器（在Windows2000Server上WindowsServer2003、Windows2000ServerWindowsXPProfessional的客户端之外，Windows2000Server终端服务器还支持运行以下平台的客户端：WindowsXPHomeEdition、WindowsXPEmbeddedEdition、WindowsVista、WindowsServer2008、WindowsMillenniumEdition、Windows98、Windows95、WindowsNT4.0WindowsCE的终端MacintoshWindows2000终端服务器的“终端服务器CAL”。如果您的客户端运行的是Windows2000或WindowsXPProfessional，则证服务器会从其内置池一个“免费”的“终端服务CAL”，以使这些客户端可以Windows2000终端服务器。根据Windows2000Server最终用户协议(EULA)，允许使用此许对于WindowsServer2003终端服务器，没有免费证的内置池。必须在证服务器上安装相应数量的CAL才能使所有客户端都连接到这些终端服务器。验证终端服务器是否可以发现证服务器（在Windows2000上导航到“所有服务器”，然后单击要连接到的终端服务器的名称CAL的列表。验证“Windows2000终端服务RDP-tcpARDP-tcpB、将“RDP-tcp属性”框的“网络适配器”选项卡上的“最大连接数”设置设为“”。C、验证RDP-TCP连接所使用的加密级别是否设加密级别设置为“高”，128位强加密对客户端与服务器之间发送的数据进行加密。不支持DRDP-TCP连接所使用的加密级别是否设置为“SSL”。如果加密级别设置为“SSL”，则请记住，此级别使用SSL验证及加密对客户端与服务器之间的连接及发送的数据本，CE上的RDP5.5版本暂时不支持。用户必须是“桌面用户”组或者您已经在RDP-TCP连接属性中的“权限”框中将在证服务器上打开“表编辑器”要打开“表编辑器”，请依次单击“开始”和“运行”，再键入reged，然后单”。其中，0=域证服务器1=Enterprise证服务在证服务器上打开“服务”。要打开“服务”，请依次单击“开始”、“控制面板”、“性能和”和“管理工具”，然后双击“服务”。在服务列表中，右键单击“表”，然后单击“属性”如果状态不是“已启动”，则单击“启为使证服务器发现在带有Windows2000Server终端服务器和WindowsServer证服务器的WindowsServer2003域中正常运行，域控制器组织单位上必须存在=经过验证的用户=要执行此过程，您必须是ActiveDirectory中“帐户操作员”组、“域管理员”组或“企业管理员”组的成员，或者已被委派了相应权限。作为安全方面的最佳实践，可考虑使用运行方式(http: /fwlink/?LinkID=48886)来执行此过程。打开“cveDecry”。要打开“cveDcory机”，请依次单击“开始”和“控制面板”，然后再依次双击“管理工具”和“ctiveiretory”。在“视图(查看)右键单击“域控制器OU在此列表中单击“经过验证的用户”验证RestrictAnonymous表项的值如果使用的是Windows2000服务器，则验证证服务器上的RestrictAnonymous注册表项的值是否设置为0或1。在此情况下，如果将此表项的值设置为2，则证服务器无法CAL。当RestrictAnonymous表值设置为2时，针对过验证的用户建立的令牌将不包含Everyone组，因此，该令牌也不再可以向Everyone组授予权限的资源。验证RestrictAnonymous表项的验证RestrictAnonymous表项的值0=无（依赖于默认权限1=SAM2=没有显式权限就无如果证服务器是ActiveDirectory域的成员，并且在“组策略”中为该证服务器配置如果该表项的值设置为2，则将其设置为1或0另外，还要验证并确认“组策略”未启用对等值（不具备显式权限就无法。为此，工具”和“本在WindowsServer2003中，如果需要向用户授予和Everyone组的成员相同权限，请使用“本地安全策略”中新的“Everyone网络：让Everyone权限应用于用户”C$、Admin$IPC$如果执行此过程后并未返回默认管理共享，则验证是否启动了Server服务、是否 HOWTO 验和”单击要验证的连接，然后在“高在“适配器和绑定”选项卡的“AdapterName的绑定”中，验证是否选中了“文终端服务器连接90天。打开“终端服务器”删除客户端的MSLicensing表项并验证Rebuilt项的权如果先前所有的故障排除过程均失败，则为客户端的MSLicensing表项及其子项删除客户端的MSLicensing表项并验证rebuilt项的权在“表”菜单中单击“导出表文件”在“文件名”框中键入mslicensingbackup，然后单击“保存关闭“表编辑器，后重新动计算（端时重成失的表项。在客户端上打开“表编辑器”在“编辑”菜单上单击“权限”。用户至少必须具备“”权限客户端试图连接时，出现了一个错误。（超时）如果使用“Internet协议安全性”(IPsec)TCP帮助保护客户端与终端服务器之将IPsec配置为通过UDP（而不是TCP）来帮助保护通信，详见定义IPSec (MTU)大传输单位(MTU)是否足够。-l1472-f<Destination_IP_Address>如果MTU不够，则可以在路由器上更改MTU，也可以通过修改表将计算机配置为使用较小的MTU。可通过两种方法将计算机配置为使用较小的MTU：创建一个新的MTU表项条目并将该值设置为576（如果需要更大的MTU，则相应设置一个较大值）；或者创建一个新的EnablePTMUDiscovery表项条目并将该值设置为0。但请注意，WindowsServer2003Windows2000TCP/IPPMTU检测，并且会NICMTUMTU参数，这创建新的MTU表项并将其设置为576（或更大的值打开“表编辑器”。要打开“表编辑器”，请依次单击“开始”和“运行”，再键入eed”。在注册表中找到以下注册表项并单击创建一个名为MTU的新的DWORD表条目576（或在需要时设置一个更大的值。创建EnablePMTUDiscovery表项并将其设置为0在注册表中找到以下注册表项并单击创建一个名为EnablePMTUDiscovery的新的DWORD表条目0客户端可能已超出其终端服务器授权宽限期 /fwlink/?LinkID=48895)，且尚未安装或激活证服务器来向客户端客户端证(CAL)。临时期后，只有在证服务器可以永久CAL的情况下，客户端才能连接到终端服务器。安装“终端服务器”，激活证服务器，然后并安装足够数量的CAL来支持贵组织中的客户端。作为安全方面的最佳实践，请考虑使用运行方式 /fwlink/?LinkID=48886)来执行此过程。在“控制面板”中打开“添加/双击“添加/单击“添加/删除Windows组件单击“您的整个企业”以选择一个Enterprise证服务器。只能在域控制器或某域中的成员服务器（如果该成员服务器运行的是WindowsServer2003）上安装Enterprise证服务器，而不能在独立服务器上安装。此角色将被发布到ActiveDirectory。如果要安装Enterprise证服务器，必须满足以下条件之一：1)您必须是ActiveDirectory中“企业管理员”组的成员；2)ActiveDirectory中托管证服务器的站点创建TS-Enterprise-License-Server对象的权利。WindowsServer2003装了证服务器的计算机运行的是Windows2000，则该计算机必须是域控制器或工然后依次单击“下一步”和“完成可通过以下三种方法之一激活终端服务器证服务器：自动、Web浏览器或打开“终端服务器”。要打开“终端服务器”，请单击“开始”，依次在控制台中，右单击要活的证服务，击“激活务器在“激活方法”列表中，选择“自动连接（推荐）”，然后单击“下一如果需要，可在以后更改您在激活过程中设置的任何证服务器属性（例如，激活方法和公司信息。然后，根据需要CAL并自动安装CAL。由于这台计算机没有终端服务器客户端证服务器可能没有任何剩余的“每设备CAL”可供。足够数量的CAL。如果证服务器没有足够数量的永久CAL，则根据需要CAL并自动安装在以下两种情况中，证服务器不会从可用的客户端证(CAL)池中任如果您在ndwserer2003境运“端务器，并且端器上的模式设为“每用户，则不会可用证池中任何证，原是“每如果您在WindowsServer2003环境中运行“终端服务器”，并且终端服务器上的模式设置为“每设备”，但证服务器被配置为仅“每用户CAL”，则从可终端服务器上会显示以下消息：“您的终端服务临时客户端证将在N天内过期。请与系统管理员联系，获得永久证。”在这种情况下，“事件ID26，源：应用程序弹出消息”WindowsXPWindows2000的终端服务器客户端由于此原因无法机的客户端证，会话被中断”在这种情况下“事件D101源errce”将示终务上应序件志，有下息 Clearinghouse并在正确模式下重新激活证服务器。临时证过期后，只有在证服务器可以永久CAL或终端服务器仍在其dws2000ereak3S3)接到终端服务器并进两次验证才能获得永久证。客户端登终务向行次后果证器活至一个“每备”安装在该证服务器上且未，则终端服务器会向客户端一个A。如果您在WindowsServer2003环境中运行“终端服务器”，并且终端服务器上的模式设置为“每设备”，但证服务器被配置为仅“每用户CAL”，则从可用理员联系，获得永久证。”在这种情况下“事件ID26，源：应用程序弹出消息”将显示在dwsXP或ndws2000机的客户端证，会话被中断”在这种情况下“事件D01源errc”将显在端务上应序件志，附以消息，打联系Clearinghouse并在正确模式下重新激活证服务器。有关详细信息，请参阅查找您所在国家或地区的Clearinghouse电话号码 如果在Windows2000(SP3)或更早版本的环境中运行“终端服务器”，则已过期的临时证可能不会升级为永久CAL。在终端服务器和证服务器上，安装ServicePack4(SP4)。要SP4，请参阅网站上的Windows2000ServicePacks 足够数量的CAL。如果证服务器没有足够数量的永久CAL，则CAL并自动安装。WindowsNTWindows2000WindowsServer2003，则终端服务器上的可能会被破坏。结果，Windows2000终端服务客户端可能会被反复终端在每台终端服务器上，将、X509和X509ID这几个表子项进行备份，然后将其删除。然后在每个客户端上，将MSLicensing表项备备份、 和 ID表子项后将其删 在“表”菜单上，单击“导出表文件”在“文件名”框中键入exported-parameters，然后单击“保X509X509ID单击备份MSLicensing表项后将其删除在客户端上，导航到以下注册表子项在“表”菜单上，单击“导出表文件”在“文件名”框中键入mslicensingbackup，然后单击“保存关闭“表编辑器”，然后重新启动客户端 和X509 ID注过终器服导”中的“”连接方法重新激活证作为安全方面的最佳实践，请考虑使用运行方式 打开“终端服务器”。要打开“终端服务器”，请依次单击“开始”和在控制台中，右单击要用的终服务器服务器，向“高级。务证。您停用终端服务器证服务器的请求将被发送到单击作为安全方面的最佳实践，请考虑使用运行方式 打开“终端服务器”。要打开“终端服务器”，请依次单击“开始”和在控制台中，右单击要用的终服务器服务器，向“高级。务证。选择“”，然后单击“下一步”指定您的位置，然后单击“下一步的“产品ID”。35位确认代码，然后单单击重新激活证服务器通过使用“”选项激活“终端服务器”时，“终端服务器 Clearinghouse打来的，确认证服 。员”组的成员可以执行此过程。作为安全方面的最佳实践，请考虑使用运行方式 打开“终端服务器”。要打开“终端服务器”，请依次单击“开始”和在“原因”中，选择重新激活证服务器的相应原因，然后单击“完成” Clearinghouse进行WindowsXP的客户端可能会试图在低带宽网络环境中（在此环境中对客户端会话进行了加密）Windows2000终端服务器。在这种情况下，IP数据包分段可能会在终端服务器上，安装Windows2000ServicePack4(SP4)。要SP4，请参阅 终端服务器和客户端上的“桌面协议”(RDP)加密设置可能不兼容。例如，终端将终端服务器上的RDP加密级别更改为“中”或“低”（如果终端服务器运行的是Windows2000）或更改为“客户端兼容”或“低”（如果终端服务器运行的是WindowsServer2003。可通过以下方法之一更改终端服务器上的RDP加密级别：(WindowsServer要执行此过程，您必须是本地计算机上“管理员”组的成员，或者已被委派了相应权限。如践，请考虑使用运行方式(http: RDP(Windows在控制台树中单击“连接在详细信息窗格中，右键单击要修改的连接，然后单击“属性“低”设置使用40位或56位加密对从客户端发送到服务器的数据进行加密Windows2000Windows20005640Windows2000Windows20005640实践，请考虑使用运行方式(http: RDP(WindowsServer打开“组策在“计算机配置”、“管理模板”、“Windows组件”、“终端服务”、“加密与安全的成员可以执行此过程。作为安全方面的最佳实践，请考虑使用运行方式 RDP(WindowsServer在控制台树中单击“连接在详细信息窗格中，右键单击要修改的连接，然后单击“属性在“常“低”设置使用56 另请参阅WindowsXPWindows2000事件ID26：您的终端服务临时客户端证将在N天内过如果您在WindowsServer2003环境中运行“终端服务器”，并且终端服务器上的模式设置为“每设备”，但证服务器被配置为仅“每用户CAL”，则从可用理员联系，获得永久证。”在这种情况下“事件ID26，源：应用程序弹出消息”将显示在dwsXP或ndws2000机的客户端证，会话被中断”在这种情况下“事件D01源errc”将显在端务上应序件志，附以消息，打联系Clearinghouse并在正确模式下重新激活证服务器。有关详细信息，请参阅查找您所在国家或地区的Clearinghouse电话号码 如果您在WindowsServer2003环境中运行“终端服务器”，并且终端服务器上的模式设置为“每设备”，但证服务器被配置为仅“每用户CAL”，则从可用理员联系，获得永久证。”在这种情况下“事件ID26，源：应用程序弹出消息”将显示在dwsXP或ndws2000机的客户端证，会话被中断”在这种情况下“事件D01源errc”将显在端务上