第5章 终端服务及应用程序和服务器虚拟化

第5章终端服务及应用程序

和服务器虚拟化终端服务——让相对性能较差的客户端计算机在远程服务器上直接运行要求较高运算量的应用程序，好像这些程序是直接在本地计算机上运行。终端服务会话Broker（TSSessionBroker）服务可简化大量负载平衡终端服务器的设置工作。终端服务网关（TSGateway）服务使得授权用户可通过Internet直接连接到终端服务器，不需要配置VPN服务器。另外RemoteApp

功能使得我们可直接将特定应用程序（而非整个远程桌面）部署给网络中的客户端。1第5章终端服务及应用程序

和服务器虚拟化服务器和应用程序虚拟化——Hyper-V是微软的一款虚拟化产品。Hyper-V设计的目的是为用户提供更为熟悉以及成本效益更高的虚拟化基础设施软件，降低运作成本、提高硬件利用率、优化基础设施并提高服务器的可用性。虚拟化技术可以定义为将一个计算机资源从另一个计算机资源中剥离的一种技术。在没有虚拟化技术的单一情况下，一台计算机只能同时运行一个操作系统，虽然可以在一台计算机上安装两个甚至多个操作系统，但同时运行的操作系统只有一个；而通过虚拟化可以在一台计算机上同时启动多个操作系统，每个操作系统上可以有许多不同的应用，多个应用之间互不干扰。2第5章终端服务及应用程序

和服务器虚拟化第1课终端服务第2课服务器和应用程序虚拟化3第1课终端服务本课将介绍在为企业规划WindowsServer2008

终端服务角色的部署时，需要考虑的授权策略，以及一些新技术（例如TS会话Broker服务）对企业总部和分支办公室站点部署终端服务器产生的影响。规划终端服务基础架构规划终端服务授权配置和监控终端服务配置终端服务会话Broker规划终端服务网关服务器的配置45.1.1规划终端服务器基础架构终端服务器可以为客户端提供通过远程方式访问的桌面。客户端只需要安装兼容的远程桌面协议（RemoteDesktopProtocol，RDP），即可连接到承载其他内容的终端服务器。

使用工作站直接运行最少量的软件，并且只需要很少的维护。用户数据永远保存在中央位置，而不需要保存在用户的工作站上，这样可简化数据的备份和恢复工作。反间谍和反病毒软件的安装和更新都在终端服务器上进行，可确保所有定义文件都是最新的。这种情况下不需要更新安装在每位用户工作站上的应用程序，可以集中进行更新。55.1.1规划终端服务器基础架构要求到终端服务器的远程桌面连接要具有高带宽和低延迟。需要在每个分支办公室站点部署终端服务器。还需要结合连接到终端服务器的客户端的数量，以及在每个位置部署终端服务器的成本，综合进行权衡。65.1.1规划终端服务器基础架构1、规划终端服务器硬件终端服务器需要强大的处理器和大量内存。每个客户端会话都要使用终端服务器的硬件和资源，因此应当考虑部署x64版本的WindowsServer2008Enterprise或Datacenter版本作环境中的终端服务器。应尽量避免使用虚拟化的终端服务器。还可使用一些工具，例如Windows系统资源管理器、性能监视器决定终端服务客户端的内存和处理器使用情况。一旦确定了终端服务器的资源使用情况，就可以决定需要怎样的硬件资源，并能充分估计出终端服务器的整体客户端容量。75.1.1规划终端服务器基础架构2、规划终端服务器软件先安装“终端服务器”角色，后安装客户端连接到终端服务器后需要使用的软件。规划出测试期，以免应用程序之间会产生冲突。85.1.2终端服务授权连接到终端服务器的所有客户端都需要一种称为“终端服务客户端访问许可”（TSCAL）的特殊授权。该授权是独立的，通过TS许可证服务器管理。在规划TS许可证服务器的部署时，需要考虑：许可证服务器的作用域是怎样的？如何激活许可证服务器？需要部署哪种类型的授权？需要多少台许可证服务器？许可证服务器的版本？95.1.2终端服务授权1.许可证服务器作用域许可证服务器的搜索范围（Discoveryscope）决定了哪些终端服务器和客户端可以自动发现该许可证服务器。许可证服务器的作用域是在安装TS许可证服务器角色服务时配置的，也可以在设置完毕后更改。搜索范围有三个选项：此工作组、此域、林。此工作组：通常用在许可证服务器和终端服务角色处于同一台计算机的情况下，同一个工作组中的终端服务器和客户端可以自动发现该许可证服务器。此域：域搜索范围使得同属于该域的终端服务器和客户端可以自动申请TSCAL。林：林搜索范围使得位于同一个ActiveDirectory林中的终端服务器和客户端可以自动申请TSCAL，不足之处在于在具有太多域的大型林中，可能需要频繁申请TSCAL。105.1.2终端服务授权2.许可证服务器的激活在TS许可证服务器颁发CAL之前，必须使用类似Windows产品激活的机制，将该服务器激活。激活过程中会获得由微软颁发的数字证书，以验证服务器的所有权，以及安装在TS许可证服务器上的标识符。许可证服务器可通过三种方式激活：

通过向导的方式进行。该方法要求服务器必须使用SSL连接直接访问Internet，某些防火墙配置下，可能无法使用。通过网页进行。该方法可用于在许可证服务器外的其他计算机上操作，适合网络基础架构无法直接从内部网络向外部网络创建SSL连接的环境。用电话联系微软Clearinghouse中心。（免费电话）115.1.2终端服务授权3.终端服务客户端访问授权

WindowsServer2008TS许可证服务器可颁发两种类型的CAL：每设备CAL和每用户CAL。TS每设备CAL：TS每设备CAL可以让特定计算机或设备连接到终端服务器。TS每用户CAL：TS每用户CAL可以让特定用户帐户，用任何一台计算机或设备，连接到企业内的任何终端服务器。如果许可证服务器可以直接创建到Internet的SSL连接，则可自动购买TSCAL。或者，在激活许可证服务器时，也可使用其他连接到Internet的计算机浏览网站，或打电话给微软Clearinghouse，直接购买TSCAL。125.1.2终端服务授权4.备份和恢复许可证服务器要备份TS许可证服务器，需要备份计算机的系统状态数据，以及保存TS授权数据库的文件夹。要恢复许可证服务器，请重建服务器，重新安装TS许可证服务器角色，恢复系统状态数据，然后恢复TS授权数据库。如果要恢复到其他计算机，则无法恢复未颁发的授权，需要重新联系微软Clearinghouse以获得这些授权。135.1.2终端服务授权5.许可证服务器的部署在规划WindowsServer2008终端服务器的部署时，如果环境中的终端服务需要运行于老版本的微软服务器操作系统，则需要考虑一个问题，WindowsServer2003TS许可证服务器和Windows2000ServerTS许可证服务器无法为WindowsServer2008终端服务器颁发授权。然而WindowsServer2008终端服务器可支持老版本的终端服务。如果企业计划在一定时期内需要有WindowsServer2003终端服务器与WindowsServer2008终端服务器共存，则应当首先升级企业的许可证服务器为WindowsServer2008，这样才能支持新的和老的终端服务器。145.1.3配置终端服务器在规划终端服务器的部署时，一定要注意，有些配置设置会应用到整个终端服务器和协议的层面上，而我们需要进行的大部分配置设置都只需要应用到协议层面上。要在协议层面上修改设置，可打开终端服务配置控制台，该控制台位于管理工具菜单的终端服务子菜单下。随后用鼠标右键单击“连接”区域的RDP-Tcp

项，并选择“属性”即可。这样可以打开RDP-Tcp

属性对话框。155.1.3配置终端服务器管理员可以配置安全层、加密级别以及其他连接安全设置。安全层的默认设置是“协商”，而加密级别的默认设置是“客户端兼容”。安全层设置还可用于配置服务器的验证，也就是服务器向客户端证明自己身份的方法。加密级别选项可用于保护终端服务器的内容不被第三方窃听。有下列选项可用：高：该级别的加密使用128位密钥。符合FIPS标准：主要被政府机构使用。

客户端兼容：该方法会通过与客户端进行协商，确定并使用客户端可支持的最强密钥。低：从客户端发往服务器的数据被使用56位密钥加密，从服务器发往客户端的数据完全不被加密。165.1.3配置终端服务器使用组策略配置终端服务在大型终端服务器部署中，不需要针对每台服务器分别配置RDP-Tcp

连接设置，以及终端服务器属性。可通过ActiveDirectory进行应用，所有相关选项都位于组策略的“计算机配置\策略\管理模板\Windows组件\终端服务\终端服务器”节点下，该节点下还包含多个子节点，所对应的功能都可和直接针对服务器设置的选项相对应。175.1.3配置终端服务器连接设备和资源重定向授权打印机重定向配置文件远程会话环境安全会话时间限制临时文件夹

TS会话Broker

从管理员角度看，如果管理员需要规划终端服务的部署，则最重要的策略都位于“连接”和“会话时间限制”节点下。通过使用这些节点，即可控制每台终端服务器可接受多少客户端的连接，以及创建的连接可保持多长时间，这些因素都将影响到终端服务器的容量。185.1.4TSWeb访问终端服务Web访问（TSWeb访问）使得客户端可以通过Web网页链接连接到终端服务器。而不需要在远程桌面连接客户端软件中输入终端服务器的地址。客户端要连接，需要使用已经安装在客户端计算机上的RDC客户端软件。TSWeb访问必须安装在要提供此类访问服务的终端服务器上，同时要部署TSWeb访问，不仅要安装“TSWeb访问”服务器角色，还需要安装”Web服务器”角色以及一个叫做“Windows进程激活服务”的功能。TSWeb访问不适合负载平衡终端服务器。195.1.5终端服务器会话Broker终端服务器会话Broker（TS会话Broker）角色服务可简化扩容导致的麻烦，并使得负载可在一组终端服务器之间进行平衡，并将客户端重新连接到组中原有会话所在的服务器上。在TS会话Broker术语中，一组终端服务器即可叫做一个“场”。TS会话Broker服务包含了一个数据库，其中会记录终端服务器的会话信息。TS会话Broker可配合DNS循环或网络负载平衡功能使用，以便将客户端分散到不同的终端服务器。205.1.5终端服务器会话Broker要在企业中部署TS会话Broker负载平衡功能，必须首先确保客户端支持RDP5.2或更新版本。要将终端服务器加入到场，此时可使用终端服务配置MMC，该工具可从管理工具菜单的终端服务子菜单下找到。还必须将终端服务器的ActiveDirectory计算机帐户添加到承载TS会话Broker服务的计算机的SessionDirectoryComputers本地组中。在完成上述任务后，需要在场中的每台服务器上配置负载平衡功能。215.1.6监控终端服务需要定期监控终端服务器，以确保用户使用正常，以及确保终端服务器依然有足够的硬件资源以承担该角色的任务。终端服务器的硬件瓶颈主要是处理器和内存资源，因此在监控时，需要尤其注意这些资源的使用情况。可使用两个工具管理和监控终端服务器的资源：系统监视器和Windows系统资源管理器。225.1.6监控终端服务1、使用系统监视器监控终端服务除了常用的WindowsServer2008监控工具，系统监视器中还包含很多与终端服务器相关的性能计数器，可帮助判断在承载了终端服务的服务器上，客户端会话的性能处于怎样的情况下。需要的两类计数器都位于“TerminalServices”和“TerminalServicesSessions”类别下，其中“TerminalServices”类别的计数器监控的是活动会话和不活动会话的数量以及总数；“TerminalServicesSessions”类别的计数器监控的是不同资源的使用情况。可使用该类别的计数器监控内存和处理器的使用情况，并获得非常详细的排错信息，例如帧错误的总数，以及协议缓存的命中率等。235.1.6监控终端服务2、Windows系统资源管理器WSRM（WindowsSystemResourceManager）是WindowsServer2008上一个可安装的功能，该功能可控制资源的分配情况，供管理员用于应用WSRM策略。WSRM包含四个默认策略。另外管理员也可以创建自己的策略。在这些策略中，有两个策略对需要负责规划和部署终端服务基础架构的人比较有用。Equal_Per_User（每用户均等）策略可确保每个用户被分配均等的资源，哪怕某位用户比其他用户在终端服务器上连接了更多会话也是如此。Equal_Per_Session（每会话均等）策略可确保每个会话被分配均等的资源。如果在允许用户创建多个会话的服务器上应用该策略，那么这个策略就可以让用户获得比只使用一个会话的用户更多的系统资源。245.1.7终端服务网关TS网关可让Internet客户端用安全、加密的方式访问位于企业防火墙内部的终端服务器，而不需要部署虚拟专用网络（VPN）解决方案。TS网关需要通过RDP协议使用安全超文本传输协议（HTTPS）。TS网关服务器可使用连接授权策略和资源授权策略进行配置，这主要取决于不同的终端服务器访问方式，以及网络资源的具体情况。连接授权策略可实现基于管理员预先指定的条件进行的访问，而资源授权策略可根据用户帐户属性将访问分配给指定的终端服务器资源。连接授权策略的特殊之处在于，TS网关服务器还可配合网络访问保护（NAP，NetworkAccessProtection）功能一起使用。NAP会对客户端执行健康程度检查。25本课小结终端服务器许可证服务器必须首先激活，然后才能安装TSCAL。许可证服务器的搜索范围决定了哪些客户端和TS服务器可以自动监测到该服务器。TS会话Broker使得我们可创建终端服务场。它可配合DNS循环或网络负载平衡技术一起使用。TSWeb访问使客户端可以使用浏览器内的快捷方式连接到终端服务器，不过依然要求客户端安装有最新的RDC软件。TS网关服务器可以让客户端从Internet连接到防火墙后面的终端服务器，而不需要实施VPN解决方案。26第2课服务器和应用程序虚拟化两种不同类型的虚拟化技术：服务器虚拟化应用程序虚拟化规划Hyper-V的部署规划TSRemoteApp的部署规划应用程序虚拟化的部署275.2.1Hyper-VHyper-V是WindowsServer2008中的一项功能，它直接作为角色内建于操作系统中，并不是一个应用程序，而且可以运行64位虚拟机。特点：硬件资源的使用效率更高。可用性更高，将服务整合到一套硬件平台上，可以降低成本和维护费用。只需要偶尔提供的服务角色沙盒更大的容量更好的可移植性更简单的备份和恢复。281、创建虚拟机从“虚拟机管理”控制台中运行“新建虚拟机向导”即可。为虚拟机指定名称和位置指定内存分配情况指定网络设置指定虚拟硬盘指定操作系统的安装选项5.2.1Hyper-V295.2.1Hyper-V2、虚拟化候选项一个企业版授权还包括4个虚拟机实例的授权。需要在分支办公室位置使用WDS服务部署任务，但不希望投入额外的硬件。在同一服务器上承载两个互相之间有冲突的应用程序。开发人员需要对应用程序进行测试。对于有较高I/O需求或较高CPU需求的服务器，不宜进行虚拟化。305.2.1Hyper-V3、对现有服务器进行虚拟化如果需要将现有服务器进行虚拟化，需要将服务器从原有硬件移动到虚拟化分区中。两个工具：VirtualServerMigrationToolkit（VSMT）——命令行工具，适合小数量迁移，只能迁移，不能管理。SystemCenterVirtualMachineManager——可管理大量虚拟机，需要SQLServer数据库支持，可以迁移，也可以实现监控、管理等。315.2.2管理虚拟化的服务器Hyper-V管理器，可用于管理虚拟网络，编辑和查看磁盘，抓取快照，恢复快照，删除快照以及编辑每个虚拟机的设置。快照：虚拟机的时间点备份。优势在于，可以将操作系统用其他技术无法比拟的速度快速回滚为以前的状态。授权：在虚拟化环境中运行的所有操作系统都需要授权。修改硬件设置：修改虚拟机的设置。既可以增加资源，还可以配置其它选项。325.2.3终端服务RemoteAppRemoteApp和普通的终端服务器会话有所不同，因为前者不再需要连接到用于显示远程计算机的桌面的窗口，而是可以直接显示在终端服务器上执行的应用程序，就好像在本地执行一样。应用程序需要的所有内存、磁盘和处理器资源都由承载该应用程序的终端服务器提供，而不是由客户端计算机承担。如果有多个应用程序需要通过同一台宿主服务器处理，则所有这些应用程序都可以通过同一个会话提供给客户端。335.2.3终端服务RemoteAppRemoteApp具有如下优势：应用程序的更新更易于部署。更新程序只需要应用到终端服务器，而不需要分别应用给所有客户端计算机。应用程序的升级路径更简单。和应用程序的更新类似，这种情况下只需要升级安装在终端服务器上的应用程序即可，客户端计算机不需要升级即可使用最新版本。345.2.3终端服务RemoteApp可以使用三种方法将TSRemoteApp

部署给企业中的客户端：创建RDP快捷方式文件，并将该文件分发给客户端计算机。为此，可以将RDP快捷方式放在共享文件夹中。创建并分发WindowsInstaller包。让客户端连接到“TSWeb访问”网站，并从页面上的链接启动RemoteApp

应用程序。35Hyper-V可为整个操作系统以及系统承载的不同应用程序和服务创建独立的分区空间，而应用程序虚拟化技术还可以为特定的应用程序创建这样的分区空间。微软应用程序虚拟化（MAV），也就是以前的SoftG