終端機服務概觀
智國
Windows Server(R) 2008 中的終端機服務伺服器角色所提供的技術,可讓使用者存取終端機伺服器上安裝的 Windows 程式,或存
取完整 Windows 桌面。利用終端機服務,使用者可以從公司網路或網際網路存取終端機伺服器。
終端機服務可讓您有效地部署及維護企業環境中的軟體。您可以輕易地從集中位置部署程式。由於您是將程式安裝在終端機伺服器上,而非用戶端電腦上,因此可
以更輕鬆地升級和維護程式。
使用者存取終端機伺服器上的程式時,程式是在該伺服器上執行。只有鍵盤、滑鼠以及顯示資訊會在網路上傳輸。每個使用者只會看到他們各自的工作階段。工作
階段是直接由伺服器的作業系統管理,並且獨立於任何其他用戶端工作階段。
如需終端機服務的相關資訊,請參閱 Windows Server 2008 TechCenter (http://
go.microsoft.com/fwlink/?LinkId=48555) 的「終端機服務」網頁。
為何使用終端機服務?
若您在終端機伺服器而非於各個裝置上部署程式,會有許多好處。其中包括下列項目:
* 可以快速地部署 Windows 程式,供企業的運算裝置使用。當您的程式需要頻繁更新、不常使用或難以管理時,終端機服務特別有用。
* 終端機伺服器可以大幅減少存取遠端應用程式所需的網路頻寬。
* 終端機服務有助於提高使用者生產力。使用者可以從其他裝置 (如家用電腦、公用資訊站、低階硬體以及非 Windows 作業系統的電
腦) 存取在終端機伺服器上執行的程式。
* 終端機服務可為需要存取集中之資料存放區的分公司工作者,提供更好的程式效能。使用大量資料的程式有時不具備針對低速連線最佳化的用戶端/
伺服器通訊協定。透過終端機服務連線執行這種程式,通常會比透過典型廣域網路執行的效果更好。
終端機服務角色服務
終端機服務是由多個子元件構成的伺服器角色,這些子元件稱為「角色服務」。Windows Server 2008 中的終端機服務包含下列角色服
務:
* 終端機伺服器:終端機伺服器角色服務可以讓伺服器主控 Windows 程式或整個 Windows 桌面。使用者可以連線到終端機伺服器
來執行程式、儲存檔案以及使用該伺服器上的網路資源。
* TS Web 存取: 終端機服務 Web 存取 (TS Web 存取) 允許使用者透過網站存取終端機伺服器的
RemoteApp(TM) 程式及遠端桌面連線。TS Web 存取也包含遠端桌面連線網頁連線,這允許使用者從遠端連線到他們具有遠端桌面連線存取
權的電腦。
* TS 授權: 終端機服務授權 (TS 授權) 可管理連線至終端機伺服器的每個裝置或使用者所需要的終端機服務用戶端存取使用權
(TS CAL)。您可以使用 TS 授權來安裝、發行及監視終端機服務授權伺服器上的 TS CAL 可用性。
* TS 閘道: 終端機服務閘道 (TS 閘道) 可讓授權的遠端使用者從任何可執行遠端桌面連線 (RDC) 用戶端的網際網路連線裝置,
連線到內部公司網路上的資源。
* TS 工作階段代理人: 終端機服務工作階段代理人 (TS 工作階段代理人) 支援伺服陣列中終端機伺服器之間的工作階段負載平衡,以及
到負載平衡之終端機伺服器陣列中現有工作階段的重新連線。
什麼是終端機伺服器?
終端機伺服器是為終端機伺服器用戶端主控 Windows 程式或完整 Windows 桌面的伺服器。使用者可以連線到終端機伺服器來執行程式、儲存
檔案以及使用該伺服器上的網路資源。使用者可使用 RDC 或 RemoteApp 程式來存取終端機伺服器。
如需部署終端機伺服器的相關資訊,請參閱<檢查清單:終端機伺服器安裝先決條件>,它位於 Windows Server 2008 技術文件庫
(http://go.microsoft.com/fwlink/?linkid=101636) (可能為英文網頁) 的<終端機伺服器說明>
中。
終端機服務 RemoteApp (TS RemoteApp)
RemoteApp 程式是透過終端機服務遠端存取的程式,而且就像是在使用者的本機電腦上執行一樣。使用者可以和本機程式一起執行
RemoteApp 程式。如果使用者執行來自同一部終端機伺服器的多個 RemoteApp 程式,RemoteApp 程式會共用同一個終端機服務
工作階段。這項功能可減少使用者工作階段數目,而且可讓在同一部伺服器上的每一個其他 RemoteApp 程式有更快的連線。
使用 [TS RemoteApp 管理員],可以建立 Windows Installer 封裝 (.msi 封裝) 或 .rdp 檔案,然後將
封裝散佈到整個組織。或者,如果想要讓使用者可以透過 Web 存取 RemoteApp 程式,則可以使用 [TS Web 存取] 將
RemoteApp 程式部署到網站。
為何要使用 TS RemoteApp?
在許多情況下,TS RemoteApp 可以減少複雜性及管理負擔,如下所示:
* 本身的 IT 支援和網路頻寬可能都很有限的分公司。
* 使用者必須從遠端存取應用程式的情況。
* 部署特定業務 (LOB) 應用程式,尤其是自訂的 LOB 應用程式。
* 使用者沒有指派之電腦的環境,例如,「公用辦公桌 (Hot Desk)」或「旅館化辦公室 (Hoteling)」工作空間。
* 部署應用程式的多個版本,尤其是在本機安裝多個版本可能造成衝突時。
如需 TS RemoteApp 的相關資訊,請參閱《TS RemoteApp 逐步指南》(http://go.microsoft.com/
fwlink/?LinkId=84895) (可能為英文網頁)。
什麼是 TS Web 存取?
TS Web 存取 可讓您提供 RemoteApp 程式與終端機伺服器的遠端桌面連線,讓使用者透過網頁存取。利用 TS Web 存取,使用者可
以瀏覽網站 (從網際網路或從內部網路),以存取可用的 RemoteApp 程式。啟動 RemoteApp 程式時,會在主控
RemoteApp 程式的終端機伺服器上啟動終端機服務工作階段。部署 TS Web 存取 時,可以指定使用哪部終端機伺服器做為資料來源,以填入
在網頁上顯示的RemoteApp 程式清單。
「遠端桌面網頁連線」功能也包含在 TS Web 存取中。使用遠端桌面網頁連線,使用者可以指定他們想要連線的電腦,然後啟動連線到該電腦的完整遠端
桌面工作階段。使用者必須具有目的地電腦的遠端桌面存取權,才能成功地連線。
如需 TS Web 存取 的相關資訊,請參閱《TS Web 存取 逐步指南》(http://go.microsoft.com/fwlink/?
LinkId=84895) (可能為英文網頁)。
什麼是 TS 授權?
TS 授權可管理每個使用者或裝置連線至終端機伺服器所需的 TS CAL。您可以使用 TS 授權來安裝、發行及監視終端機服務授權伺服器上的
TS CAL 可用性。
若要使用終端機服務,至少必須有一部授權伺服器。若是小範圍部署,可以將「終端機伺服器」角色服務和「TS 授權」角色服務安裝在同一部電腦上。若是較
大範圍的部署,建議將「TS 授權」角色服務和「終端機伺服器」角色服務安裝在不同的電腦上。
您必須正確地設定 TS 授權,才能讓您的終端機伺服器繼續接受來自用戶端的連線。
如需 TS 授權的相關資訊,請參閱《TS 授權逐步指南》(http://go.microsoft.com/fwlink/?
LinkID=85873) (可能為英文網頁)。
什麼是 TS 閘道?
TS 閘道可以讓授權的遠端使用者從任何具有網際網路連線能力且可執行 RDC 用戶端的裝置,連線到公司內部網路或私人網路上的資源。網路資源可能是
終端機伺服器、執行 RemoteApp 程式的終端機伺服器,或已啟用遠端桌面的電腦。TS 閘道將遠端桌面通訊協定 (RDP) 封裝在 RPC
中,以便利用 HTTP 通訊協定透過安全通訊端層 (SSL) 連線傳送。透過此方式,TS 閘道可協助改善安全性,方式是在在網際網路上的遠端使用
者與使用者生產應用程式執行所在的內部網路資源之間建立安全的加密連線。
為何要使用 TS 閘道?
TS 閘道提供下列優點:
* TS 閘道可以讓遠端使用者使用加密的連線,透過網際網路連線至內部網路資源,而不需要設定虛擬私人網路 (VPN) 連線。
* TS 閘道具有完整的安全性設定模型,可讓您控制對特定內部網路資源的存取。TS 閘道提供點對點的 RDP 連線,而不是讓遠端使用者存
取所有的內部網路資源。
* TS 閘道可以讓遠端使用者連線至內部網路資源,這些內部網路資源是在私人網路防火牆之後,以及網路位址轉譯器 (NAT) 間主控。有
了 TS 閘道,您不必針對這種狀況對 TS 閘道伺服器或用戶端執行其他設定。
在舊版 Windows Server 中,安全性措施通常使得遠端使用者無法透過 RDP 跨越防火牆和 NAT 連線至內部網路資源。
這是因為防火牆通常會基於網路安全性考量而封鎖 RDP 連線使用的連接埠 3389。TS 閘道使用 HTTP 安全通訊端層/傳輸層安全性
(SSL/TLS) 通道,將 RDP 流量改送至連接埠 443。因為大多數企業都會開啟連接埠 443 以啟用網際網路連線,所以 TS 閘道利用
此網路設計提供跨越多個防火牆的遠端存取連線。
* [TS 閘道管理員] 可以讓您設定授權原則,以定義只有符合條件的遠端使用者才能連線至內部網路資源。例如,您可以指定:
o 誰可以連線到網路資源 (換言之,可以連線的使用者群組)。
o 使用者可以連線到哪些內部網路資源 (電腦群組)。
o 用戶端電腦是否必須是特定 Active Directory(R) 安全性群組的成員。
o 是否允許裝置與磁碟重新導向。
o 用戶端必須使用智慧卡驗證或密碼驗證,或者可以使用任一種方法。
* 您可以設定 TS 閘道伺服器與終端機服務用戶端使用網路存取保護 (NAP),進一步加強安全性。NAP 是 Windows
Server 2008、Windows Vista(R) RTM、Beta 版本的 Windows Vista Service Pack 1
(SP1) 與 Windows XP Service Pack 3 (SP3) 內含的健康原則建立、強制及修復技術。系統管理員可以使用
NAP 來強制健康情況需求,其中可包含軟體需求、安全性更新需求、必要的電腦設定及其他設定。
note備註
當 TS 閘道強制執行 NAP 時,執行 Windows Server 2008 的電腦將無法做為 NAP 用戶端。當 TS 閘道
強制執行 NAP 時,只有執行 Windows Vista RTM,或 Windows Vista SP1 與 Beta 版
Windows XP SP3 的電腦可以用來做為 NAP 用戶端。
* 您可以使用 TS 閘道伺服器配合 Microsoft Internet Security and Acceleration
(ISA) Server,以加強安全性。在這種狀況中,您可以在私人網路主控 TS 閘道伺服器,而非在周邊網路 (也稱為 DMZ、非軍事區域及遮
蔽式子網路) 中主控,並在周邊網路中主控 ISA Server。或者,您可以使用 ISA Server 來做為周邊網路的一端或兩端的隔離點。終
端機服務用戶端與 ISA Server 之間的 SSL 連線可以在連接網際網路的 ISA Server 處終止。
* [TS 閘道管理員] 提供一些工具,可協助您監視 TS 閘道連線狀態、健康狀況與事件。您可以使用 [TS 閘道管理員] 來指定要監
視以便稽核的事件 (例如,對 TS 閘道伺服器的失敗連線嘗試)。
如需 TS 閘道的相關資訊,請參閱《TS 閘道伺服器逐步安裝指南》(http://go.microsoft.com/fwlink/?
linkid=85872) (可能為英文網頁)。
什麼是 TS 工作階段代理人?
TS 工作階段代理人會追蹤負載平衡之終端機伺服器陣列中的使用者工作階段。TS 工作階段代理人資料庫儲存工作階段的狀態資訊,包括工作階段識別碼、
關聯的使用者名稱,以及每個工作階段所在之伺服器的名稱。當具有現有工作階段的使用者連線至負載平衡之伺服陣列中的終端機伺服器時,TS 工作階段代理
人會將使用者重新導向至其工作階段所在的終端機伺服器。這可以避免使用者被連線至伺服陣列中的其他伺服器,而啟動新的工作階段。
如果啟用「TS 工作階段代理人負載平衡」功能,「TS 工作階段代理人」也會追蹤伺服陣列中每部終端機伺服器上的使用者工作階段數目,並將沒有現有工
作階段的使用者重新導向至工作階段數目最少的伺服器。這項功能可以讓您將工作階段負載平均地分散到負載平衡終端機伺服器陣列中的各個伺服器。
如需 TS 工作階段代理人的相關資訊,請參閱《TS 工作階段代理人負載平衡逐步指南》(http://go.microsoft.com/
fwlink/?LinkId=92670) (可能為英文網頁)。