Terminalservices im Windows Server 2008
Mehr-Wert-Dienste
Vor allem im Bereich der Terminaldienste hat Microsoft zahlreiche Verbesserungen in den Windows Server 2008 integriert. Durch die neuen Funktionen nähern sich die Terminaldienste ein Stück weit an die Möglichkeiten von Citrix an. Dieser Beitrag stellt die wichtigsten Neuerungen vor.
Mit den neuen Remote-Anwendungen (Remote Apps) stellen Unternehmen Anwendungen über eine
Terminalserversitzung zur Verfügung, ohne dass Benutzer eine Desktop-Verbindung mit dem Server
aufbauen müssen. Unter Citrix ist diese Funktion als "Veröffentlichung von Anwendungen"
(Application Publishing) bekannt. Für den Anwender ist diese Technik transparent: Er kann nicht
feststellen, ob eine Anwendung lokal oder in einer Terminalserversitzung läuft. Selbst das Fenster
der Applikation lässt sich größer und kleiner ziehen, und die Anwendung verhält sich so, als ob sie
lokal auf dem jeweiligen Computer läuft. Dies erhöht auch die Sicherheit, da die Anwender keinen
Zugriff mehr auf den Desktop des Servers erhalten, sondern nur Verbindung mit den Anwendungen
aufbauen. Zwischen lokalen Anwendungen auf dem Client-Computer und Remote-Anwendungen auf dem
Server besteht die Möglichkeit zum Datenaustausch. So kann der Anwender beispielsweise Daten einer
ERP-Anwendung auf dem Terminalserver über die Zwischenablage in ein lokales Excel übernehmen.
Webzugriff
Windows Server 2008 bietet einen Webzugriff für Terminaldienste an. Er ermöglicht den Zugang zum
Terminalserver (TS) auch via Internet, der Funktionsumfang ähnelt Outlook Web Access von Exchange.
Nach der Installation steht die Webseite des Terminalservers über die URL http:///ts zur Verfügung,
auf Wunsch auch SSL-verschlüsselt per HTTPS. Beim TS-Web-Access-Server muss es sich nicht unbedingt
um einen Terminalserver handeln, da dieser Dienst nur die Webseite zur Verfügung stellt und
Anfragen an die Terminalserver weiterleitet.
Eine weitere neue Funktion ist das Terminaldienste-Gateway. Dessen Aufgabe besteht darin,
Anwendern, die sich per HTTPS über das Internet verbinden, Zugriff auf die internen Terminalserver
zu gestatten. Ein TS Gateway verbindet also RDP mit HTTPS, um eine gesicherte Verbindung zu den
Terminalservern zu ermöglichen. Es ist nicht notwendig, dass sich Anwender zusätzlich über ein VPN
oder RAS einwählen. Administratoren können genau festlegen, auf welche internen Server oder auch
RDP-aktivierte PCs die Anwender via Internet zugreifen können.
TS Gateways ermöglichen den Zugriff auf RDP-Sitzungen über Firewalls oder Network Address
Translation (NAT) hinweg. Die Verbindung zwischen Client und TS Gateway erfolgt über den Port 443
(SSL). Nur die interne Verbindung zwischen TS Gateway und Terminalserver erfolgt über den RDP-Port
(3389). Bisher konnten Anwender über das Internet nicht auf Terminalserver zugreifen, wenn der Port
3389 blockiert wird, was meistens der Fall ist. Mit einem TS Gateway-Server unter Windows Server
2008 kann man auch Zugriff auf Terminalserver gewähren, die unter Windows Server 2003, Windows 2000
Server und sogar Windows NT 4.0 Terminalserver Edition installiert sind. Auch den Zugriff auf den
Remote Desktop von Windows XP oder Windows Vista unterstützt die Funktion. Die Clients müssen
allerdings mindestens den RDP-Client 6.0 verwenden. Der optimale Weg, ein TS Gateway zu betreiben,
ist als Veröffentlichung über einen ISA Server 2004/2006, ähnlich zur RPC-über-HTTP-Funktion von
Exchange Server 2003/2007.
In den TS-Gateway-Einstellungen lassen sich einzelne RDP-Dateien der Remote-Anwendungen mit
einem Zertifikat signieren. So können die Clients im Netzwerk oder aus dem Internet sicherstellen,
dass die Anwendung vertrauenswürdig ist. Allerdings benötigt der Client dann den RDP-Client 6.1,
der in Windows Vista SP1 enthalten ist. Windows Vista ohne das SP1 enthält den RDP-Client 6.0.
TS Gateways unterstützen auch die neue NAP-Funktion (Network Access Protection) von Windows
Server 2008. Der Verbindungsaufbau der Clients zu den Terminalservern findet über Richtlinien auf
dem TS Gateway statt. Diese bezeichnet Microsoft auch als "Terminal Server Client Access Policies"
(TS-CAPs). Außerdem gibt es noch die "Terminal Services Resource Authorization Policies" (TS-RAPs).
Diese steuern, auf welche Server die Clients zugreifen dürfen. Entsprechen Clients nicht den
Richtlinien, verweigert der Server die Anmeldung.
Lastverteilung
Der neue Terminaldienste-Sitzungs-Broker (TS Session Broker) hat die Aufgabe, Benutzer wieder zu
ihren getrennten Sitzungen zu verbinden. Er ist vor allem beim Einsatz von Lastverteilung (Network
Load Balancing, NLB) nützlich. NLB schließt mehrerer Systeme zu einem Cluster zusammen und verteilt
die eingehenden TCP/IP-Anforderungen optimal auf die verschiedenen Server. Dies ist vor allem für
Webserver sowie für Terminaldienste gedacht. Der TS Session Broker speichert Benutzernamen,
Session-ID und den Terminalserver, mit dem der Anwender verbunden war. Damit der Server die
Benutzer wieder mit der entsprechenden Sitzung auf ihrem Terminalserver verbindet, müssen
allerdings alle Server in der Load-Balancing-Farm unter Windows Server 2008 laufen. Eine gemischte
Umgebung mit Windows Server 2003 unterstützt diese Funktion nicht.
Durch die Integration des Windows System Resource Managers (WSRM) in Windows Server 2008 lassen
sich CPU und Arbeitsspeicher direkt einzelnen Applikationen, Diensten oder Prozessen zuweisen. Dies
hilft zu verhindern, dass unwichtige Applikationen auf einem Server andere Applikationen
ausbremsen. Die Technik verbessert somit die Leistung eines Terminalservers unter Windows Server
2008. Um die Ressourcen auf einem Terminalserver zu verwalten, gibt es verschiedene Richtlinien für
den WSRM.
Das Thema Drucken in den Terminaldiensten ist schon seit Windows NT 4.0 Terminalserver Edition
ein heißes Thema und beschäftigt auch unter Windows Server 2008 wieder viele Administratoren.
Microsoft hat seit Windows NT 4.0 Terminalserver Edition die Einbindung von Druckern in eine
Terminalserverumgebung immer wieder verbessert. Auch in Windows Server 2008 sind wieder einige
Verbesserungen enthalten. Eine der Neuerungen ist der Terminal Services Easy Print Driver, der die
Druckaufträge verschiedener Drucker an den Client umleiten kann. Der Druckertreiber unterstützt
eine Vielzahl von Druckern, sodass auf einem Terminalserver nicht unbedingt zahlreiche
Druckertreiber installiert sein müssen.
Damit der Easy Print Driver funktioniert, muss der RDP-Client 6.1 installiert sein. Zusätzlich
benötigt der universelle Treiber das Dotnet-Framework 3.0 Service Pack 1. Der Treiber unterstützt
für die kompatiblen Drucker alle Features, nicht nur die grundlegenden Funktionen. Er verbessert
auch die Performance bei der Übertragung des Druckauftrags. Auf dem Server wird dazu ein Abbild des
Druckertreibers des Clients angezeigt, aber nicht installiert. Druckt ein Anwender in der Sitzung,
leitet der Treiber den Druck in eine XPS-Datei um und schickt diese zum Client. Dieser druckt
anschließend das Dokument aus.
Die auf dem Client verfügbaren Drucker verbindet der Client automatisch mit dem Server, sofern
diese kompatibel sind. Eine notwendige Druckerumleitung lässt sich im RDP-Client einstellen. Auf
der Registerkarte "Lokale Ressourcen" auf dem Client lassen sich diese Funktionen konfigurieren.
Unterstützen die Unternehmensdrucker den neuen Terminal Services Easy Print Driver nicht,
unterstützt Windows Server 2008 eine Drucker-Mapping-Datei. Diese Möglichkeit gibt es bereits sein
Windows 2000 Server. Dabei wird über eine spezielle Datei mehreren Druckern der gleiche Treiber auf
dem Server zugeordnet. Mehr zu diesem Thema findet sich in einem Knowledgebase-Artikel, zu finden
unter support.microsoft.com/kb/239088/en-us.
In Windows Server 2008 gibt es auch neue Möglichkeiten, die Anbindung von Druckern über
Gruppenrichtlinien zu steuern. Die meisten Einstellungen für Gruppenrichtlinien finden
Administratoren im Gruppenrichtlinien-Objekteditor unter "Computerkonfiguration/Administrative
Vorlagen/Windows-Komponenten/Terminaldienste". Die Verwaltung von Druckern befindet sich im
Untermenü "Terminalserver/Druckerumleitung". Hier sind auch die Einstellungen des Easy Print
Drivers vorzunehmen. Die Richtlinie "Zuerst Easy-Print-Druckertreiber der Terminaldienste" legt
fest, dass ein Terminalserver zuerst diesen Treiber verwendet, bevor er einen anderen Treiber
installiert.
Auch wenn Systemverwalter diese Richtlinie nicht konfigurieren, verwendet der Terminalserver
standardmäßig zuerst den Easy Print Driver. Unterstützt der Drucker diesen Treiber nicht, sucht der
Terminalserver als nächstes lokal nach einem passenden Treiber. Findet der Server keinen Treiber,
lässt sich der Drucker in der Terminalsitzung nicht verwenden. Standardmäßig ist diese Richtlinie
nicht konfiguriert. Ist diese Einstellung deaktiviert, versucht der Server zunächst, einen zum
Drucker kompatiblen Druckertreiber zu finden, und verwendet dann erst den Easy Print Driver.
Terminalserver unter Windows Server 2008 können in den Terminalsitzungen deutlich mehr Geräte
des angeschlossenen Clients verwenden. Die Terminaldienste unterstützen jetzt auch höhere
Auflösungen, zum Beispiel 1680 x 1050 oder 1900 x 1200. Auch der Einsatz von Mehrmonitorlösungen
unterstützt der neue Client: Durch die neue "Monitor-Spanning" genannte Funktion lassen sich
Terminalserversitzungen jetzt über mehrere Screens strecken. Die maximale Auflösung ist 4096 x
2048. Neben den herkömmlichen Auflösungen im 4:3-Format, unterstützt Windows Server 2008 auch
Auflösungen im 16:9- und 16:10-Format.
Das Feature "Desktop-Darstellung" bietet den Anwendern in einer Terminalserversitzung die
gleiche Oberfläche wie bei Windows Vista. Allerdings muss dazu die Client-Hardware Aero
unterstützen, die Hardware des Terminalservers hingegen nicht. Neben Aero enthält die Funktion auch
die Windows-Fotogalerie und den Windows Media Player 11. Auch Desktop Themes stehen zur Verfügung.
Sitzungen verhalten sich dann wie Arbeitsplätze mit Vista.
Eine weitere Funktion ist die Schriftartglättung im RDP-Client. Mit dieser Funktion stellt eine
Terminalserversitzung Cleartype-Schriftarten besser dar. Cleartype dient dazu, Computerschriftarten
klar und mit geglätteten Kanten anzuzeigen. Jedes Pixel in einer Schriftart besteht aus drei
Teilen: Rot, Blau und Grün. Cleartype verbessert die Auflösung, indem der Server die einzelnen
Farben im Pixel aktiviert und deaktiviert. Ohne Cleartype muss das gesamte Pixel aktiviert oder
deaktiviert werden. Durch diese genauere Steuerung eines Pixels verbessert sich die Deutlichkeit
vor allem auf LCD-Monitoren deutlich. Standardmäßig verwendet der RDP-Client 6.0 eine Farbtiefe von
32 Bit. Dieser Modus ist der effizienteste im Kompromiss zwischen Darstellung und Netzwerkverkehr.
Eine Herabstufung auf 24 oder 16 Bit bringt keinerlei Geschwindigkeitsvorteile, schränkt aber die
Anzeige ein.
Die Authentifizierung findet jetzt nicht mehr über eine Anmeldemaske auf dem Server statt,
sondern zunächst am RDP-Client auf dem Client-Computer. Dies vermindert die Last des Servers und
des Netzwerks erheblich. Mit der neuen Technik findet nämlich erst die Authentifizierung statt,
bevor der Desktop geladen wird.
Lokale Geräte wie Digitalkameras leitet der RDP-Client auf den Terminalserver um, was deutlich
besser funktioniert als unter Windows Server 2003. Geräte lassen sich auch im laufenden Betrieb
einer Terminalserversitzung umleiten.
Die Terminaldienste in Windows Server 2008 reservieren 70 Prozent der Bandbreite für die
Übertragung des Grafik-, Maus-, und Tastaturverkehrs. Drucker, Zwischenablage und die anderen
Funktionen erhalten nur 30 Prozent der Bandbreite. Die Einstellungen befinden sich im
Registry-Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TermDD".
Windows Server 2008 unterstützt auch SSO-Szenarien (Single Sign-on). Diese Funktionalität setzt
Windows Vista als Client voraus. Außerdem müssen sich beide Systeme im gleichen Active Directory
befinden. Die Einstellungen dazu führen Systemverwalter in der Terminaldienstekonfiguration auf dem
Server durch.
Lesen Sie mehr zum Thema
