终端服务器配置

2终端服务组件

WindowsNET Server终端服务由五个组件组成：WindowsNET Server服务器多用户内核、远程桌面协议、终端服务客户端软件、终端服务许可服务以及终端服务系统管理工具。

(1)多用户内核。最初为Windows NT Server 40终端服务器开发的多用户内核扩展在WindowsNET Server中作了很大增强并且成为WindowsNET Server家族内核的标准部分。不管终端服务安装与否，这种内核是一直内嵌在服务器操作系统内的。

(2)远程桌面协议。WindowsNET Server终端服务的一个核心组件就是允许客户端与网络上的终端服务器进行通讯所使用的协议。这种协议是基于国际电信联盟制定的国际标准T120的一种多通道协议。它是一种双字节兼容的协议，使用在各种网络环境下用来实现网络定位、自动断开连接以及远程配置。

(3)终端服务客户端。客户端软件用于在客户机上显示用户熟悉的32位Windows用户界面。它是一个非常小的应用程序，用来建立和维护客户端与运行终端服务的服务器之间的连接。它将所有的用户输入，比如键盘录入或鼠标移动传送给服务器，并且将所用服务器端的输出，如应用程序显示信息及打印流返回给客户端。

4)终端服务许可服务。当终端服务被安装为应用程序服务器模式时，需要用到这种服务。该服务使得终端服务能够获得和管理连接设备的终端服务客户访问许可证(CAL)。当终端服务安装为远程管理模式时不需要终端访问许可服务。终端服务许可服务是WindowsNET Server的组件。

(5)终端服务管理工具。管理工具由管理终端服务的软件组成。包括终端服务许可证管理器、终端服务客户端生成器、终端服务客户端配置工具以及终端服务管理器。

终端服务在Windows网络环境中是一种很有用的服务。但如果使用不当会给用户带来很多麻烦。例如会导致用户数据丢失、给网络带来安全隐患等风险。终端服务在配置过程中，仍然有一些内容值得引起大家的注意。　　一、必要时让服务器在疏通模式下运作。

虽然终端服务很早就在微软的操作系统中存在。但是在2008R2中还是对其进行了一些改善。其中疏通模式就是一个很大的亮点。有时候管理员出于某种原因可能需要将终端服务器脱机。在以前的版本中，可能会导致用户数据的丢失。因为那时管理员只能够使用change logon /disable命令来断开用户的连接。但是使用这个命令，虽然可以防止新用户的登陆，但是这个命令同时也会阻止断开会话连接的用户重新连接到终端服务器。此时当终端服务器停机时，用户就会丢失他们的会话以及和这个会话相关的数据。为此在以前的版本中，管理员如果要让终端服务器脱机，需要非常的谨慎。如需要选择在用户下班的情况下才脱机等等。这会给日常的维护工作带来不必要的麻烦。

但是在2008R2中这种情况有了很大的改善。因为在这个版本的终端服务中引入了疏通模式。将服务器设置为这个工作模式时，管理员将服务器脱机后，可以阻断新用户的连接。但是服务器会允许带有已有会话的用户重新连接到终端服务器。当然在用户重新连接后会有相关的提示，让用户及时提交相关的作业。显然疏通模式下的工作方式要人性化许多。要改变这个工作模式，也是非常简单的。一个命令就可以完成：change logon /drain。注意当运行了这个命令之后，没有任何其他新的用户可以登陆到这个终端服务器。如果要允许用户重新登陆时，稍微麻烦一点，需要两个步骤。首先是运行命令change logon /drainumtilrestart。其次这个终端服务就会重新启动。然后用户可以登陆。可见这个疏通模式对于管理员维护终端服务器有很大的帮助。

二、通过WSRM来为终端服务的用户分配资源。

当将终端服务作为一个服务器时，连接到上面的用户会有很多。随之而来的问题是如何分配这些资源如果没有采取任何的措施，系统默认情况下是平均分配的。此时当用户一多，终端服务的性能就会急剧下降。为此在2008的终端服务中，微软也借鉴了其他产品的相关经验，使用WSRM来为终端服务器的各个用户管理资源的使用。

WSRM(系统资源管理器)也是win2008中新实现的一个内容。并且在R2补丁中还对其进行了一些修缮。这个组件允许系统管理员来分配服务器的资源。即将内存、CPU等关键资源如何在应用程序、服务、进程之间进行分配。如果将WSRM系统资源管理器与终端服务结合使用，管理员就可以比较精确的控制每个用户或者会话所允许使用的资源最高值。通过限制用户或者会话可以使用的资源，系统管理员就可以减少用户最大限度的使用终端服务器资源的机会。

在实际工作中，我们往往会为一些特殊的帐户，设置比较高的资源使用量。而对于普通的用户则会进行限制。这主要是因为在终端服务维护时，如对终端服务进行升级，会消耗系统比较多的资源。否则的话，就可能会导致升级失败或者升级的时间延长。为此需要优先保证管理员帐户的需求。其次如果在同一个服务器上运行了多种服务。如除了终端服务外还有邮箱服务等等，就需要限制终端服务总的资源消耗量。以免终端服务占用了太多的资源，而给其他应用服务的运作产生了不利的影响。

总之在2008的环境下，如果终端访问的用户数量比较多或者多个应用服务同时部署在一台服务器上，则笔者都会建议用户要使用WSRM系统资源管理器来合理分配各个用户、各个服务可以使用的最大资源量。同时对于不同的用户、不同的服务根据实际情况还需要有区别的对待。即关键用户、关键服务要放宽资源的使用限制。而对其他次要的、或者偶发性资源占用情况比较多的服务，需要加以限制。从而减少各个服务、各个用户资源争夺的情况。

三、谨慎终端服务器的升级。

如果要对终端服务器进行升级换代，笔者建议是采用全新安装的方式。但是如果服务器上除了终端服务还有其他应用服务，则采取这种方式并不是很合理。如果数据库服务于终端服务都在同一台服务器上，那么重新安装的话，还需要重新部署数据库服务。这个工作两就会很大。在这种情况下，只有对终端服务进行升级。不过在升级的时候，需要特别的谨慎。虽然微软在升级这块上做的已经非常的不错。但是在实际工作中还是经常会遇到升级后终端服务无法正常运行的情况。发生这种情况的原因有很多。如升级失败、升级后的兼容性问题等等。

为此笔者建议，在终端服务器上应用任何操作系或者应用程序更新(打补丁也是如此)之前，都需要在独立的服务器上进行测试。也就是说，先克隆一台终端服务器(与原有的终端服务器具有相同的服务与应用程序)，然后在这台克隆的终端服务器上先进行升级。以判断升级过后是否会与现有的应用程序与服务产生冲突。在这个过程中，管理员还可以发现一些相关资料上没有提到的内容。如升级之前需要的准备工作、升级之后相关的应用服务是否需要重新配置等等。如在服务升级之后，有时候可能需要重新安装打印机驱动程序等等。这些都是很难预测的。只有通过测试之后才能够发现问题。

基于升级过程中可能发生的难以预测的原因，笔者建议在升级之前要谨慎，需要做好相关数据的备份。当然作为最佳的做法，笔者还是推荐使用带有最新的终端服务器代替原有的服务器。即现在一台服务器上部署好最新版本的终端服务，直接将原有的服务器替换下来。虽然这么做工作量会比较大，如需要重新创建每个文件共享和打印设备、需要重新安装最新的驱动程序来支持每个客户端。但是相对于升级后产生的问题来说，这么做还是值得的。在实际工作中，最大的问题并不是工作量增加的问题。而是需要增加一台额外的服务器作为备用。其次就是仍然需要进行数据的移植，如用户数据库等等。

总之在Win2008R2中对于终端服务做了很多改善，添加了不少新的特性。系统管理员需要灵活使用这些特性来改善自己的工作。不过从低版本的终端服务升级到2008R2版本的终端服务时，仍然需要谨慎。在这里的建议是重新部署，而不是选择升级。

Windows Server 2003 终端服务包括下面两个组件：用于管理的远程桌面通过用于管理的远程桌面，管理员可以从任意终端服务客户端远程管理基于 Microsoft Windows 2000 的服务器和基于 Windows Server 2003 的服务器。为了进行演示和协作，两个管理员可以共享一个会话。此外，管理员还可以使用 -console 命令远程连接到实际的服务器控制台。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：278845 如何使用 Windows Server 2003 终端服务连接到并隐藏控制台会话注意无须具有终端服务器客户端访问许可证即可使用用于管理的远程桌面。不过，只有管理员组的成员才能访问服务器。默认情况下，用于管理的远程桌面随 Windows Server 2003 一同安装。不过，出于安全原因而禁用用于管理的远程桌面。终端服务器终端服务器允许多个远程客户端同时访问服务器上运行的基于 Windows 的程序。这是终端服务器常规部署方式。在使用终端服务器模式时，服务器接受由管理员以外的人员进行的两个以上的同时连接。使用此模式时，可以在任何成员服务器上安装终端服务授权服务。不过，必须在所有终端服务器上配置一个首选许可证服务器，该服务器必须能够与配置为域许可证服务器的非域控制器许可证服务器通信。会自动搜索在非域控制器上部署的企业域许可证服务器。有关如何配置首选许可证服务器的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：279561 如何覆盖 Windows Server 2003 终端服务中的许可证服务器发现进程301932 终端服务许可服务发现239107 建立首选 Windows 2000 终端服务许可证服务器有关终端服务许可的其他信息，请访问下面的 Microsoft 网站：/windowsserver2003/technologies/terminalservices/defaultmspx在启用 Windows Server 2003 终端服务之前，请查看以下各项：服务器服务器是包含大多数计算资源的计算机，用于终端服务网络环境。它接收和处理客户端发生的击键和鼠标操作。服务器可在客户端窗口中显示桌面和正在其上运行的程序。消息消息是一种使用远程桌面协议 (RDP) 52 在服务器和客户端间进行的通信。RDP 是一种需要依赖 TCP/IP 的程序层协议。客户端正在服务器运行上的远程桌面可显示在客户端计算机的窗口中。在客户端计算机上启动程序时，这些程序实际上正在服务器上运行。在 Windows 2000 中，远程桌面连接名为终端服务客户端。远程桌面连接使用最新的 RDP 52，这一版本与早期版本相比进行了极大的改善。可以使用远程桌面连接来连接到较早版本的终端服务。启用“用于管理的远程桌面”默认情况下，“用于管理的远程桌面”处于禁用状态。要启用它，请按照下列步骤操作：单击“开始”，单击“控制面板”，然后单击“系统”。单击“远程”选项卡，单击以选中“允许用户远程连接到这台计算机”复选框，然后单击“确定”。注意：无须具有终端服务器客户端访问许可证即可使用用于管理的远程桌面。在启用了用于管理的远程桌面的终端服务器上，最多自动允许同时进行两个连接。更改会话的加密级别默认情况下，终端服务会话的加密级别设置为“客户端兼容”，以提供客户端支持的最高加密级别。其他可用设置为：高 - 此设置通过 128 位密钥来提供双向安全性。低 - 此设置使用 56 位加密。符合 FIPS 标准 - 使用经过联邦信息处理标准 140-1 验证的方法加密所有数据。所有级别均使用标准 RSA RC4 加密。 要更改加密级别，请按照下列步骤操作：单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“终端服务配置”。在左窗格中，单击“连接”。在右窗格中，右键单击“RDP-tcp”，然后单击“属性”。单击“常规”选项卡，在“加密”列表中单击所需的加密级别，然后单击“确定”。故障排除如果终端服务没有正常运行，请检查 IP 地址。如果提供的 IP 地址无效，则可能会出现问题。如果程序不能正常运行，请考虑以下问题：用于锁定文件的程序或 DLL 文件不能正常运行。如果多个用户试图同时使用同一程序，则可能会出现此问题。使用计算机名或 IP 地址进行标识的程序不能正常运行。如果多个用户使用同一计算机名或 IP 地址同时运行程序，则可能会出现此问题。