Сервер терминалов

Делаем ещё один шаг на встречу знаниям. На этот раз это будут знания о терминальном сервере под Виндой. Всё просто: поставим, настроим, запустим приложения в терминальном сеансе и... всё.

Установку будем производить на отдельную виртуальную машину с ещё одной Виндой 2008. Позже эта машина нам пригодится для создания ещё одного контроллера домена и изучения взаимодействия его с нашим первым контроллером. А пока у нас просто будет два виндовых сервака (напомню, что в прошлых статьях мы уже успели смастерить один сервер и один клиентский комп).

Ну и стандартно - зачем же оно надо? В двух словах. Думал, как бы получше объяснить, да в итоге слизал с Вики: Терминальный сервер - это сервер, предоставляющий клиентам вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач. Применительно к нашему случаю - клиенты подключаются (через стандартный встроенный виндовый клиент RDP) к серверу терминалов, используя виндовые учётки и пользуются сервером как локальным компьютером, но в отдельном окошке. Так как всё это дело будет в домене, то и использоваться будут доменные учётки.

К слову, по некоторым причинам не рекомендуется совать терминальный сервер и контроллер домена в одну машину. В частности, потому что на КД по умолчанию отключается дисковый кэш, а это приводит к некоторому замедлению работы с дисковой подсистемой, что будет не очень здорово, если, скажем, куча юзеров ломанётся на наш терминальный сервер работать с софтом, использующим большую БД (не такая уж и фантастическая ситуация). С другой стороны это отключение приводит к повышению безопасности - отложенная запись перестаёт функционировать, а значит при внезапном отключении питания снизится риск потери данных. Это как скинуть файлы на флешку и вытащить её, не нажав на безопасное извлечение, а потом обнаружить, что хоть окошко с копированием и показало 100%, но данных на флешке и нет - система не успела их записать на самом деле.

Да и вообще... Нечего юзеров пускать на сервер, хранящий все якви-пароли. Несекьюрно это.

В масштабах не очень большой организации на эти рекомендации, конечно, можно и член положить, и никто от этого не умрёт... Но в идеале всё так, как описано выше.

Короче, делаем ещё одну виртуальную машину с настройками аналогичными первому серверу и ставим туда Вин-2008. Ну и приступаем к настройке. Перво-наперво избавимся от IPv6 (я уже рассказывал как - надо создать в реестре параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents со значением FF и перезагрузиться), поставим статический адрес 192.168.100.4, войдём в домен (схема та же, что и с ХР-клиентом - в свойствах компьютера в дополнительных параметрах системы на вкладке Имя компьютера прописываем название домена). Кстати, помните, я говорил, что рядовые пользователи домена по умолчанию имеют права на добавление компов в домен? Вот можно это заодно и проверить:

Рабора... Наш будущий терминальный сервер в домене. Теперь нужно установить нужную роль. Идём в Панель управления - Администрирование - Диспетчер сервера, выбираем Роли, Добавить Роли, отмечаем Службы терминалов

Тут отметим Сервер терминалов и Лицензирование служб терминалов (чтобы подключиться к серверу терминалов, должна быть лицензия на подключение)

Дальше у нас будут спрашивать вещи, узнать которые можно имея на руках собственно бумажку от Майкрософта с описанием купленной лицензии. В общем, отметим Настроить позже и успокоимся на этом - некоторое время (120 дней) можно будет обойтись и так, потом доступ на вход по RDP запретят.

Оставляем остальное без изменений (донастроим потом по ходу дела).

В конце Винда стандартно потребует перезагрузки (кто бы сомневался)... Перезагружаемся, что уж тут. Теперь нам каждый раз будут напоминать, что у нас нет лицензии.

Если таки у вас есть бумажка от Майкрософта, то можете зайти в сюда: Администрирование > Службы терминалов > Диспетчер лицензирования служб терминалов, нажать правой кнопкой на сервер > Активировать сервер и заполнить все поля. Затем пройти в Администрирование > Службы терминалов > Конфигурация служб терминалов. На средней панели есть набор настроек, которые тоже надо будет настроить в соответствии с имеющейся лицензией.

Вот. У нас лицензии нет, так что придётся укладываться в отведённый пробный период в 120 дней.

Ну в общем-то сервер терминалов уже запущен и можно его проверять. Включим клиентскую машину, Пуск > Все программы > Стандартные > Подключение к удалённому рабочему столу

Как видите, подключение под учёткой админа прошло успешно (ну по крайней мере должно было пройти успешно, если вы делали всё так же как и я). Чтобы сэкономить ваше время скажу сразу: тот же результат будет при входе локального админа, в ответ на попытки входа под любым другим юзером Винда выдаст вам вот такой вежливый посыл:

Оно и понятно - чтобы войти на сервер, надо иметь на это разрешение. По умолчанию разрешения выданы только админам. Раздадим же их и простым смертным. На сервере терминалов заходим в Диспетчер сервера > Конфигурация > Локальные пользователи и группы > Группы и добавляем там в группу Пользователи удалённого рабочего стола нужную группу (заметьте - группу, а не подразделение - разницу я описывал в этой статье). Давайте добавим отдел ИТ и бухгалтера Машу. Если при добавлении доменных пользователей у вас спрашивают логин-пароль, значит просто вы залогинены под локальным админом, а не под доменным. Разницы нет, но для удобства можно и перелогиниться.

Теперь можно будет зайти на терминалов и под учёткой бухгалтерши. Подключение к удалённому рабочему столу можно настроить под свои нужды - во-первых, для медленных соединений (не наш случай, но всё же) можно на вкладке экран поставить поменьше цветов и поменьше разрешение:

Ещё часто используется фича запуска определённого приложения в терминальном сеансе, тогда остальной функционал терминального сервера будет недоступен:

Это настройки клиента, а ещё нужно добавить нужный софт в список разрешённых на сервере: идём в Администрирование > Службы терминалов > Диспетчер удалённых приложений RemoteApp служб терминалов, жмём Изменить напротив Параметров сервера терминалов и отмечаем пункт:

В итоге открытый на удалённом сервере блокнот будет у выглядеть примерно вот так на рабочем столе клиента:

Неплохо. Единственное, что ещё хотел сказать - контроль сеансов. Если зайти в Администрирование > Службы терминалов > Диспетчер служб терминалов, то можно увидеть вот такую консоль, которая показывает все подключения к серверу - Администратор, которым я зашёл локально и buh-m, которым я зашёл по RDP.

Если нажать правой кнопкой на нужный сеанс, то можно посмотреть список действий, которые доступны с помощью этой консоли - можно отправить сообщение, которое выскочит в том сеансе в отдельном окошке, можно принудительно завершить сеанс, на вкладке процессы можно управлять процессами (логично, да?) ну и так далее. Для быдлоадминства хватит того, что я уже успел перечислить. Остального много и расписывать это долго. Может быть в другой раз. Не сегодня.