Windows Server 2008 (R2): Anwendungsserver

© Mag. Christian Zahler, Stand: August 2012 9

1 Remotedesktopdienste (ehem. Terminal Services) Die Remotedesktopdienste gehören zu den Desktopvirtualisierungsprodukten von Microsoft. Die Remotedesktopdienste besteht aus einer Serverkomponente und einer Clientkomponente.

Versionen des RDP-Protokolls:

• 6.1 – als Update für Windows Vista und Windows Server 2008 verfügbar

• 7.0 – wird mit Windows 7 und Windows Server 2008 R2 mitgeliefert

• RDP-Client für MacOS X

1.1 Neue Features • Terminal Services Gateway: tunnelt den RDP-Traffic in einem HTTPS-Tunnel (RPC over http-

Proxy) o “Client Access Policies“ (CAP) erzwingen Client-Compliance (NAP-Integration) o “Ressource Access Policies” (RAP) erzwingen Netzwerkeinschränkungen o Unterstützung von SSL-Terminierung auf ISA Server

• Terminal Services Remote Applications (Citrix: „Published Applications“)

o Über GPO werden Applikationen “freigegeben” o Diese Applikationen laufen in einem eigenen Fenster mit flexibler Fenstergröße, es ist

nicht erkennbar, dass die Anwendung in einem Terminal-Fenster läuft o Mehrere Applikationen verwenden dieselbe TS Sitzung o Ausrollung auch auf Web Access

• Terminal Services Web Access o Anywhere Application Access o Mehrere Applikationen verwenden dieselbe TS Sitzung o Zentrales Deployment von Applicationen o Anpassbares User Interface

EasyPrint: alle Druckertreiber werden auf die lokale Maschine umgeleitet.

„Session Directory“ heißt jetzt „Session Broker“.

RDP 6.0-Client oder höher für das Gateway nötig.

Alle weiteren Funktionalitäten benötigen mindestens den RDP 6.1 Client.

Windows Server 2008 (R2): Anwendungsplattform

10 © Mag. Christian Zahler, Stand: August 2012

1.2 Grundlagen Unter Remoteverwaltung versteht man die Verwaltung entfernter Rechner, etwa über das Internet. Remotedesktopdienste übertragen den Bildschirm eines entfernten Rechners, sodass so gearbeitet werden kann, als würde man den entfernten Rechner lokal benutzen.

Marktüberblick:

• Citrix Metaframe

• Microsoft Windows Server Remote Desktop Services

• Hummingbird

• AttachMate

• Tarantella

• Symantec PCAnywhere

• VNC, TightVNC (laufen plattformübergreifend sowohl unter Windows als auch Linux)

• DameWare

Wir wollen in diesem Kapitel die Microsoft Windows Server 2008 R2 Remote Desktop Services besprechen.

Remotedesktopdienste stellen den Remotezugriff auf einen Windows-Desktop mithilfe von "Thin Client"-Software sicher, über die der Clientcomputer als Terminalemulator fungieren kann. Dabei wird lediglich die Benutzeroberfläche des Programms an den Client übertragen. Der Client gibt anschließend die vom Server zu verarbeitenden Tastatureingaben und Mausklicks zurück. Benutzer lassen sich nach der Anmeldung lediglich die individuellen Sitzungen anzeigen, die vom Betriebssystem des Servers transparent verwaltet und unabhängig von anderen Clientsitzungen ausgeführt werden. Clientsoftware kann auf einer Reihe von Clienthardwaregeräten ausgeführt werden, einschließlich PCs und Windows-Terminals. Andere Geräte, z. B. Macintosh-Computer bzw. UNIX-Arbeitsstationen, können mithilfe zusätzlicher Software anderer Anbieter ebenfalls eine Verbindung zu einem Server herstellen, der Remote Desktop-Server ausführt.

Remotedesktopdienste liefern die zugrunde liegende Technologie für mehrere Funktionen und Komponenten von Betriebssystemen der Microsoft® Windows Server 2008-Produktfamilie. Darunter befinden sich Remote Desktop-Server und Remotedesktop für Verwaltung.

Mithilfe von Remote Desktop-Server können Windows-Programme mit einem Netzwerkserver effektiv und verlässlich verteilt werden. Mit Remote Desktop-Server können mehrere Benutzer über einen einzigen Installationspfad auf den Desktop auf einem Server unter einem Betriebssystem der Windows Server 2003-Produktfamilie zugreifen. Die Benutzer können Programme ausführen, Dateien speichern und Netzwerkressourcen genauso verwenden, als befänden sie sich direkt am betreffenden Computer.

1.3 Remotedesktop für Verwaltung Remotedesktop für Verwaltung (früher als Remotedesktopdienste im Remoteverwaltungsmodus bezeichnet) bietet Remotezugriff auf den Desktop eines beliebigen Computers unter einem Betriebssystem der Windows Server 2008-Produktfamilie. So können Sie den Server – sogar einen Server unter Microsoft® Windows 2000 – von praktisch jedem Computer im Netzwerk aus verwalten.

Wenn Sie diesen Computer jedoch zur Remoteverwaltung von Betriebssystemen der Windows Windows Server 2008-Produktfamilie verwenden möchten, müssen Sie hierzu keinen Remote Desktop-Server installieren. Verwenden Sie stattdessen Remotedesktop für Verwaltung (früher hieß diese Komponente Remotedesktopdienste im Remoteverwaltungsmodus), die standardmäßig auf Computern installiert wird, die unter einem der Betriebssysteme der Windows Windows Server 2008-Produktfamilie ausgeführt werden. Nachdem Sie Remoteverbindungen aktiviert haben, können Sie mit der Komponente Remotedesktop für Verwaltung Server remote von einem beliebigen Client aus über ein LAN, WAN oder eine DFÜ-Verbindung verwalten. Durch die Einführung der Session 0 Isolation (ab Windows Server 2008) kann heute nur mehr eine einzige administrative Verbindung über Remotedesktop aufgebaut werden, ohne dass die Remote Desktop-Serverlizenzierung erforderlich ist.

Windows Server 2008 (R2): Anwendungsserver

© Mag. Christian Zahler, Stand: August 2012 11

1.4 Session 0 Isolation Bis Windows XP/Windows Server 2003 liefen alle Dienste in derselben Sitzung wie der erste Benutzer, der sich an der Konsole anmeldete. Diese Sitzung wird als "Session 0" bezeichnet. Über den Schalter mstsc /console konnte man sich direkt mit dieser Konsolensitzung verbinden. Diese Architektur ermöglichte Denial-of-Service-Attacken.

In Windows Server 2008 ist die Session 0 keine Konsolensitzung mehr, sonders steht einzig und allein den Systemdiensten zur Verfügung. Die Konsolensitzungen beginnen bei der Sitzungs-ID 1; alle Remote-Sitzungen verwenden Microsoft Remotedesktopdienste. Der Fernzugriff auf die Konsolensitzung ist für Administratoren mit mstsc /admin möglich.

1.5 RDP-Clients

1.5.1 Einrichten eines Microsoft Terminal Service C lient (MSTSC) Der Terminal Service Client kann durch Aufruf von mstsc.exe oder in der Startmenü-Programmgruppe Zubehör mit dem Eintrag Remotedesktopverbindung aufgerufen werden.

Windows Server 2008 (R2): Anwendungsplattform

12 © Mag. Christian Zahler, Stand: August 2012

Windows Server 2008 (R2): Anwendungsserver

© Mag. Christian Zahler, Stand: August 2012 13

Windows Server 2008 (R2): Anwendungsplattform

14 © Mag. Christian Zahler, Stand: August 2012

Windows Server 2008 (R2): Anwendungsserver

© Mag. Christian Zahler, Stand: August 2012 15

Windows Server 2008 (R2): Anwendungsplattform

16 © Mag. Christian Zahler, Stand: August 2012

1.5.2 Remotedesktop-Webverbindung Voraussetzung: Auf einem Server mit installierter Rolle „Internetinformationsdienste“ ist der Rollendienst "Remotedesktop-Webverbindung" installiert.

Zugriff: http://Servername/ts

Windows Server 2008 (R2): Anwendungsserver

© Mag. Christian Zahler, Stand: August 2012 17

1.6 Betrieb eines Remotedesktop-Sitzungshostservers (früher: Terminal-Server)

Folgende Schritte sind für den Betrieb eines "vollwertigen" Remote Desktop-Servers erforderlich:

• Installation der Remotedesktopdienste

• Überprüfen der erweiterten Sicherheitskonfigurationseinstellungen von Internet Explorer

• Konfigurieren eines Remote Desktop-Server-Lizenzservers: Bei kleinen Bereitstellungen können Remote Desktop-Server und der Remote Desktop-Server-Lizenzierungsdienst auf demselben Computer installiert werden. Bei größeren Bereitstellungen wird jedoch empfohlen, die Remote Desktop-Serverlizenzierung auf einem anderen Server zu installieren.

Wichtig: Dieser Schritt muss ausgeführt werden. Wenn Sie Remote Desktop-Server-lizenzierung nicht installieren, würde der Remote Desktop-Server Verbindungen von nicht lizenzierten Clients ablehnen, nachdem der Evaluierungszeitrahmen von 120 Tagen nach Anmeldung des ersten Clients abgelaufen ist.

• Installieren von Clientzugriffslizenzen (Client Access Licenses, CALs) auf dem Remote Desktop-Server-Lizenzserver.

• Installieren von Programmen auf dem Remote Desktop-Server.

• Bereitstellen der neuesten Version von Remotedesktopverbindung für Clients, die frühere Versionen von Remotedesktopverbindung für Windows verwenden.

• Angeben der Benutzer, die Berechtigung zum Aufbau einer Verbindung zum Remote Desktop-Server haben.

1.6.1 Checkliste vor der Installation der Remotedes ktopdienste Vor der Konfiguration des Computers als Remote Desktop-Server sollten Sie folgende Punkte überprüfen:

• Das Betriebssystem ist ordnungsgemäß konfiguriert. In der Windows Windows Server 2008-Produktfamilie ist ein Remote Desktop-Server von der entsprechenden Konfiguration des Betriebssystems und seiner Dienste abhängig. Wenn Sie eine neue Installation eines Betriebssystems der Windows Windows Server 2008-Produktfamilie verwenden, können Sie die Standarddiensteinstellungen verwenden.

• Der Computer ist ein Server in einem Netzwerk oder in einer Domäne, es handelt sich jedoch nicht um einen Domänencontroller. Das Installieren von Remote Desktop-Server auf einem Domänencontroller kann die Leistung beeinträchtigen, da für die Aufgaben eines Domänencontrollers in einer Domäne mehr Arbeitsspeicher, Netzwerkverkehr und Prozessorzeit erforderlich sind.

• Der Computer erfüllt die Prozessor- und Speicherplatzanforderungen zur Unterstützung mehrerer gleichzeitiger Sitzungen, bei denen unterschiedliche Benutzer angemeldet sind. Ein Remote Desktop-Server benötigt mindestens 128 MB RAM sowie zusätzlichen Arbeitsspeicher für jeden Benutzer, dessen Programme auf dem Server ausgeführt werden sollen. Für jeden gewöhnlichen Benutzer, der in der Regel nur ein Programm ausführt, werden zusätzlich 10 MB RAM empfohlen. Und für Hauptbenutzer, die in der Regel drei oder mehr Programme gleichzeitig ausführen, werden bis zu 21 MB RAM empfohlen. Wenn Sie 16-Bit-Anwendungen auf dem Remote Desktop-Server installieren möchten, sollten Sie zudem beachten, dass diese Anwendungen zusätzliche Ressourcen benötigen, wenn sie in 32-Bit-Umgebungen, wie z. B. unter Betriebssystemen der Windows Server 2008-Produktfamilie ausgeführt werden.

• Auf dem Computer sind keine Programme installiert. Sie sollten die Remote Desktop-Serverfunktion hinzufügen, bevor Sie die Programme für die Benutzer installieren. Falls auf dem Computer bereits Programme installiert sind, ist es möglicherweise erforderlich, diese Programme erneut zu installieren, um sicherzustellen, dass diese ordnungsgemäß in der Remote Desktop-Serverumgebung ausgeführt werden.

Windows Server 2008 (R2): Anwendungsplattform

18 © Mag. Christian Zahler, Stand: August 2012

• Eine Remoteanmeldung am Computer ist für keinen Benutzer möglich. Sie sollten Benutzern erst dann den Zugriff auf den Remote Desktop-Server erteilen, wenn Sie die Programme installiert, ihre Installation getestet und eine Optimierung durchgeführt haben, die erforderlich ist, wenn die Programme in einer Multisessionumgebung funktionsfähig sein sollen.

• Alle vorhandenen Datenträgervolumes verwenden das NTFS-Dateisystem. FAT32-Volumes bieten weder die erforderliche Sicherheit für Benutzer in einer Multisessionumgebung noch die Möglichkeit, Dateiberechtigungen festzulegen.

1.6.2 Installation der Remotedesktopdienste Fügen Sie die Rolle „Remotedesktopdienste“ im Server-Manager hinzu: