ČLÁNEK

Windows Server 2008 je finálně dokončen a v následujících měsících budete mít jistě mnoho šancí se s ním detailně seznámit. A protože z vlastní praxe vím, že terminálové služby jsou v České republice velmi oblíbené, rozhodl jsem se napsat svůj první článek do Technet Flash na téma Windows Server 2008 právě o této velmi zajímavé oblasti.

Jaké novinky, v rámci Windows Server 2008 a tedy i v oblasti terminálových služeb můžeme očekávat? Kromě jiného, je to opět vyšší podpora barevného rozlišení (až 32-bit), velmi pěkná je i podpora pro přenos dat mezi klientem a terminálovou relací pomocí schránky (či drag & drop), či nové typy ověření mezi klientem a serverem. Nicméně nejzávažnější témata jistě budou tato:

• Terminal Server Device Redirection
• Terminal Server Easy Print
• Terminal Server Remote Application
• Terminal Server Web Access
• Terminal Server Gateway
• Terminal Services Session Broker

Pojďme se nyní na každou oblast podívat podrobněji.

Terminal Server Device Redirection

Přesměrování hardwarových zařízení na terminálový server je novinkou, která velmi zefektivní možnost využití terminálových služeb ve vaší společnosti. Jde v podstatě o možnost přistupovat k zařízením, které jako uživatel potřebujete využívat ke své práci, ale nemůžete je fyzicky připojit k serveru samotnému. Typická je například situace, ve které si na svoji stanici připojíte nějaké zařízení (USB disk, fotoaparát, tiskárna, atd.) a rádi byste k němu přistupovali v programech, které vám terminálový server hostuje. Toto byla dříve téměř neřešitelná situace – v momentě, kdy jste si z domova přinesli svoji práci na USB disku, jste museli data někam složitě kopírovat tak, aby byla z terminálového serveru později dostupná.  Jako administrátor můžete řídit nastavení serveru, jako uživatel si potom můžete v Remote Desktop (RDP) klientovi nastavit, která zařízení chcete na server po přihlášení připojit. Vše je velmi jednoduché a intuitivní. Určitě stojí za zmínku, že k této funkcionalitě potřebujete RDP klienta ve verzi 6.1, který je již poměrně dlouho dobu dostupný na Microsoft Update jako volitelná aktualizace.

Poznámka: Tento klient je potřeba i k dalším novinkám v terminálovém serveru na Windows Server 2008,

Terminal Server Easy  Print

Tato novinka zajišťuje tisk skrze Remote Desktop protokol (RDP). Ne, že by tisknout nešlo již v předcházejících verzích terminálového serveru… nicméně problém byl vždy s ovladači. Představte si, že máte ke svému lokálnímu počítači připojenu tiskárnu a chtěli byste na ni tisknout z terminálové relace – do této doby to ale znamenalo nutnost instalace patřičných ovladačů i na terminálový server samotný a to v praxi znamenalo v podstatě neřešitelný problém. Tiskáren je mnoho a není možné pro každý model instalovat ovladač i na server, nehledě na to, že ne vždy vhodné ovladače vůbec existují. Tento problém je nyní vyřešen jedním jediným ovladačem „Terminal Server Easy Print“, který tisk z terminálové relace převede do standardizovaného formátu XPS a ten se posléze na klientovi vytiskne. Jednoduché, že?

Terminal Server Remote Applications

Tato část je úplnou novinkou v terminálovém serveru na Windows Server 2008. Jedná se o možnost publikování konkrétní aplikace skrze Remote Desktop protokol tak, že klient má pocit, že aplikace je spouštěna lokálně na jeho stanici a vůbec netuší, že je naopak spouštěna z terminálového serveru. V předchozích verzích Windows již bylo možné omezit terminálovou relaci na spuštění pouze jedné, konkrétní aplikace. Pořád, zde ale docházelo k vytvoření celé terminálové relace, která byla následně pouze omezena na spuštění tohoto konkrétního programu. V tomto případě se ale jedná o zásadní změnu – publikujeme opravdu jen aplikaci samotnou a nic jiného. A může jít o libovolný program, od kalkulačky, až po Microsoft Word. Spolu s možností použití služby „Terminal Server Gateway“, tak dostáváme do ruky nástroj, kterým můžeme publikovat libovolnou aplikaci kamkoli tak, jak potřebujeme. Ideální komponenta serveru pro všechny společnosti, které potřebují business aplikace udržovat ve stejných verzích a přitom uchovat jejich maximální dostupnost pro klienty!

Terminal Server Web Access

Tato komponenta terminálového serveru je úzce navázána na předchozí část. Jde o to, že ne vždy má klient na své stanici dostupného Remote Desktop klienta, natož, aby si pamatoval konfigurační nastavení – tedy kam a jak se připojit. Pro tyto situace zde máme serverem vygenerovanou web stránku, která pomocí web partů a ActiveX komponent tohoto klienta zcela zastoupí. Vy, jako správce, můžete ovlivňovat mnohé, například to, kdo uvidí jakou aplikaci apod.

 Terminal Server Gateway

Klasické spojení z klienta na server je zajištěno pomocí protokolu „Remote Desktop Protocol“ (RDP), který využívá TCP spojení na portu 3389. Tento protokol byl vytvořen a optimalizován i s ohledem na fungování v pomalých, typicky internetových sítích. Jenže pokud se orientujete v této problematice, dáte mi jistě za pravdu, že tímto protokolem se moc daleko nedostanete a velmi pravděpodobně pokus o spojení na portu 3389 zastaví první inteligentní síťový prvek – typicky firewall. Proto nový Terminal Server ve Windows Server 2008 přináší i novinku v podobě „Terminal Server Gateway Service“. Tato služba zajišťuje „tunelování“ RDP protokolu skrze HTTPS protokol, který je obecně přijímán a propouštěn většinou sítí. Jedná se tedy o ideálního pomocníka pro publikování terminálových relací, nebo terminálových aplikací přímo do internetu, nebo podobných sítí. Celý proces tedy vypadá takto:

1. klient se pomocí HTTPS protokolu spojuje se službou Terminal Server Gateway – kde dochází k oboustranné autentizaci a vytváří se šifrované HTTPS spojení.
2. Terminal Server Gateway rozbaluje z HTTPS protokolu „tunelovaný“ RDP protokol a tento předává terminálovému serveru.
3. RDP spojení přichází na terminálový server a ten vytváří terminálovou relaci.

 Z výše uvedených řádek je zřejmé, že se tato nová služba snaží zásadně zjednodušit publikaci terminálových relací a terminálových aplikací i do sítí, kde je použití klasického RDP spojení velmi obtížné, ne-li nemožné. Typicky tedy např. do internetu. Díky použití šifrovací technologie SSL a HTTPS spojení, spolu s oboustrannou autentizací a dalšími bezpečnostními prvky, získáváme velmi kvalitní a bezpečný způsob publikování terminálových serverů. Pokud si k tomu přidáte i možnost publikování klienta a jeho nastavení skrze web stránku terminálového serveru, dostáváme se do situace, že klient, který sedí např. v internetové kavárně si může jednoduše, rychle a hlavně zcela bezpečně pustit jakoukoli aplikaci, na kterou je zvyklý z interního prostředí. Místo Exchange OWA si tedy může klidně pustit celý Office Outlook.

Terminal Services Session Broker

A abychom neopomenuli žádnou podstatnou novinku, je potřeba zmínit i tuto. Jedná se o inovovanou součást terminálového serveru, která již byla implementována ve Windows Server 2003 (Session Directory). Jde v zásadě o to, že pokud máte více terminálových serverů a kvůli rozkladu zátěže, či zajištění vysoké dostupnosti, jich provozujete v síti několik (až 32) a pomocí služby Network Load Balancing zajišťujete přesměrování klientů na nejdostupnější server, musíte mít také nějakou možnost, jak zaručit, že se klient připojí tam, kde je to pro vaše prostředí nejvýhodnější. Typickým příkladem je, když svoji terminálovou relaci necháte na serveru otevřenu s tím, že se k ní později opět připojíte. Toto zajišťuje služba Session Broker, která jednotlivým terminálovým serverům říká, zdali si mají klienta „ponechat“, či jej přesměrovat na server jiný.

Tolik tedy alespoň velmi přehledově o novinkách v terminálových službách. Protože novinky nejsou jen technického rázu, ale i licenčního, doporučuji nastudovat odkazy pod článkem.

Martin Pavlis – KPCS CZ – Microsoft MVP

Odkazy:

Changes to Windows Server 2008 Terminal Server Licensing (Part 1) http://www.msterminalservices.org/articles/Changes-Windows-Server-2008-Terminal-Server-Licensing-Part1.html

Changes to Windows Server 2008 Terminal Server Licensing (Part 2) http://www.msterminalservices.org/articles/Changes-Windows-Server-2008-Terminal-Server-Licensing-Part2.html