WindowsServer2008：终端服务攻略指南

在如今这个网络无处不在的时代，传统介质的单机产品已经越来越不能满足人们的需求，更多的软件商已经意识到了网络带给它们的便利与挑战，以微软为例，无论是网络补丁分发，还是基于网络的正版增值计划都体现了微软对于网络的利用，而对于企业用户来讲，这一点则主要体现在终端服务这方面。

　一、概念篇

　Windows Server 中的终端服务可以提高企业在各种应用情境下的软件部署能力，并且允许在应用程序和管理基础结构中融入更多的灵活性。当用户在终端服务器上运行应用程序时，应用程序实际上在服务器端执行，因此仅需要在网络上传输键盘、鼠标和显示信息。每位用户均只能看到他自己的会话，会话由服务器操作系统透明的进行管理，并且独立于其它任何客户端会话。终端服务提供了在 Windows Server 上承载多个并发客户端会话的能力。基于 Windows 的标准应用程序无需做任何修改便可在终端服务器上运行，而且可以使用所有标准的 Windows Server 管理基础结构和技术来管理客户端桌面系统。通过这种方式，企业能够从当今 Windows 操作系统环境提供的丰富应用程序和工具选择中做出适合自己需要的选择。

　面对如此贴近企业的应用，微软自然会不断的对其进行增强，在今年即将上市的Windows Server 2008中，终端服务器方面性能的改进就非常的令人欣慰。用户可以自主的决定那些程序可以远程接入。同时用户通过新的远程程序和终端服务网关能够使用Citrix公司的程序。用户还可以接入该程序，配置该程序，虚拟化以及实现随时安全接入的功能。下面我们就来逐一介绍微软终端服务的魅力所在：

　终端服务网关（Terminal Services gateway）

　在Windows Server 2008中终端服务的一个重大改进就是终端服务网关（Terminal Services Gateway），通过这个功能，用户可以在世界各地通过Internet上的一个门户来访问终端服务程序。所有的处理过程都是通过安全加密的HTTPS通道来完成的，如果用户熟悉Exchange Server或者ISA Server的话，就会发现这一特性非常的像Outlook 2003经由虚拟个人网络（***）访问邮件服务器时使用的RPC-over-HTTP的功能。

　终端服务网关（Terminal Services Gateway）可以穿过防火墙正确的完成网络地址转换，除此之外，因为数据是通过HTTPS这个几乎人人都会使用的协议进行传输的，这就避免了以前通过远程桌面协议（RDP）进行传输时遇到的无法穿透防火墙的问题，因为桌面协议（RDP）使用的3389端口在防火墙上往往是会被屏蔽掉的。

　管理员为不同的用户组设置不同的授权策略，这样就可以控制不同用户通过网关机器连接终端服务的权限，有了这个功能我们就不再需要为每个Internet上的用户开放的软件安装权限了。

　如果说终端服务为网络的分布式办公提供了可能，那么通过终端服务网关（Terminal Services Gateway）则真正使得企业部署的软件变得灵活而又可控。

　远程管理基于 Windows Server 的计算机

　任何的解决方案都需要有力工具的支持，终端服务也不例外，在终端服务技术的支持之下，Remote Desktop for Administration 专门针对服务器管理而设计。Remote Desktop for Administration 可极大减轻远程管理的工作负担，由于它并不具备完整终端服务器组件的应用程序共享和多用户能力，也不具备进程调度功能。所以，Remote Desktop for Administration 可在已经十分繁忙的服务器上使用，并不会对服务器性能和 CPU 利用率造成显著影响，这使得它成为了执行远程管理的一项方便且高效的服务。

　Remote Desktop for Administration 可用于远程管理 Windows 服务器。此模式旨在为操作员和管理员提供对典型后端服务器和域控制器的远程访问能力。管理员可访问在 Windows 环境下运行的具备图形化用户界面的工具，即便他并不使用基于 Windows 的计算机来管理服务器也没有关系。管理员可以使用终端服务客户端软件，从任何设备上和通过任何网络连接安全地管理基于 Windows服务器的计算机。管理员能够执行的任务包括：目录维护、病毒扫描、备份、重启，甚至是将服务器提升为域控制器，所有这些都可以在远程位置完成。

　其实在Windows Server 2003版本中，终端服务的管理控制台就已经非常强大，但是终端服务的管理在Windows Server 2003中依然有不尽如人意的地方，如果你使用过基于Windows Server 2003的终端服务你就会发现需要了解和操作的管理控制界面实在是太多了，而在Windows Server 2008中这一问题得到了很好的解决，用户只需要通过一个单一的管理控制台就可以完成所有的配置和管理工作。

　终端服务远程程序

　终端服务的优势就在于集中管理。通过使用终端服务，企业可确保所有客户端都使用应用程序的最新版本，因为软件只需在服务器计算机上安装一次，而不是在企业的所有桌面计算机上都进行安装。这种模式降低了桌面计算机的更新成本和难度，尤其是那些位于远程位置的计算机或分支办事处环境中的计算机。组织可通过局域网 （LAN）、广域网 （WAN） 和拨号连接，使用终端服务器模式向各类桌面环境交付基于 Windows 的应用程序。对于那些频繁更新、难于安装或者需要通过低带宽连接进行访问的业务应用程序来说，这是一种极具成本效益的部署手段。

　终端服务不仅适用于多种桌面平台，还允许用户使用较老的过时设备访问最新应用程序，帮助企业逐步对较老设备进行替换。而在这方面之前我们更多的是依赖一些第三方加载项产品，例如Citrix MetaFrame如果你非常熟悉Citrix MetaFrame的产品，那么你一定能够体会到它带给你的体验，在全新的Windows Server 2008中则开始自己支持这些功能，在Windows Server 2008中用户可以直接运行终端服务器上的应用程序，并且允许应用程序整合到本地的Windows的一个副本上，用户将看到一个独立的任务栏按键，一个应用程序窗口区域，以及更具功能性的Alt-Tab切换等等。

　这些功能对于用户来讲是完全无缝透明的，理论上讲，用户并不知道他们的程序驻留在哪里，除非由于网络原因或者服务器过载造成的偶然的性能下降或运行缓慢，用户才会发现程序好像并非保存在本地的计算机。简单来说，终端服务远程程序是通过RDP替代原先完整操作系统会话环境来部署单一应用程序的一种方法，这样的改变简化了负载，简化了配置管理，更简化了管理员的工作压力。

　使用远程桌面 Web 连接

　远程桌面 Web 连接 （Remote Desktop Web Connection） 是一个 ActiveX 控件，具有与远程桌面连接的可执行版本完全相同的功能，但是它通过 Web 提供这些功能，并且无需在客户端计算机上安装可执行版本。当在 Web 页面中托管的时候，该 ActiveX 客户端控件允许用户通过使用 TCP/IP 协议的互联网或内部网连接，登录到终端服务器，并可在 Internet Explorer 内部查看 Windows 桌面。

　远程桌面 Web 连接是通过 URL 提供终端服务器功能的简单途径。同时这个服务也非常的智能，无论加载多少程序只要是由同一用户发起的，那么在终端服务中都只会保存一个会话，这样就使得服务器端的资源管理更加的便捷，同时企业还可以将网络访问整合到SharePoint 站点上，这样用户就可以通过企业的协作平台来访问多种程序。

　除此之外，Windows Server 2008中的终端服务还有其他的一些革新，例如更加强大的团队协作功能，其中包括单点登录（SSO）终端会话，会话监控功能，以及整合的Windows系统资源管理器，这些改进都可以更好的监视系统的性能和资源的使用情况，从而使得终端服务与用户更紧密的无缝集成。

　当然新的变化永远是层出不穷的，微软正在计划引入一个全新的RDP client的最新版本－version 6－以用来整合所有的新功能，加之，新的RDP客户端版本将会支持更加精确的带宽使用率，从而是RDP的通讯更加畅通无阻。

　试想在未来的某一天我们再也不需要购买任何的软件产品，甚至是操作系统，我们需要做的就是打开电脑连入网络，然后选择自己需要的环境开始工作或是娱乐，当然这一切还取决于软件商的销售策略以及授权认证方式的完善，但单从技术的角度上讲，这一天已经离我们不再遥远，至少在大型企业内部终端服务的应用在今后的日子中将会越来越广泛。

终端服务管理器概述

终端服务管理器概述

使用终端服务管理器查看有关受信任域中终端服务器的信息。使用该工具监视每个终端服务器上的用户、会话以及应用程序，并执行分类操作以管理服务器。请参阅如何使用终端服务管理器中的单个过程，了解执行每个任务所需的权限级别。

当用户通过从客户端计算机连接到终端服务器来创建会话时，该会话会出现在终端服务管理器的“会话”列表中。另外，使用该会话登录的用户的名称将出现在“用户”列表中。在用户会话上运行的任何应用程序都可在“进程”列表中进行监视。因此，可以从一个位置监视终端服务器上的所有用户、会话和进程。

终端服务管理器还允许使用“操作”菜单上的命令来管理终端服务器。详细信息，请参阅使用终端服务管理器。

控制台会话

在终端服务管理器上，当连接到终端服务器时，系统控制台会话在“会话”列表中标识为会话 0。控制台会话定义为连接到远程计算机的物理控制台的会话，就好像您正在进行本地登录而不是远程登录。可以向控制台会话发送消息，但是，不能在控制台会话上执行任何其他管理操作。

侦听者会话

侦听者会话与一般会话不同。这些会话侦听并接受新的远程桌面协议 (RDP) 客户端连接，从而为客户端请求创建新会话。如果在终端服务配置中已配置了多个连接，则多个侦听者会话都可用。

可以选择复位侦听者会话。但是，不建议执行该操作，因为这样做将复位使用相同终端服务连接的所有会话。在没有警告的情况下复位用户会话会导致客户端丢失数据。

空闲会话

要优化终端服务器的性能，在建立客户端连接之前服务器将初始化空闲会话。这些会话可由客户端使用以进行连接。默认情况下将创建两个空闲会话。用户会话也可以处于空闲状态。有关配置会话限制的信息，请参阅配置会话限制。

有两种方法可以激活Windows Server 2003的终端服务，适用于不同的情况。

激活前需要进行的步骤：

1 在控制面板→添加或删除程序→添加或删除Windows组件中添加终端服务器和终端服务器授权两个组件。安装过程的参数使用默认值，许可证服务器地址：127001（本机），授权模式使用“每设备授权模式”，安装过程需要Windows Server 2003的安装光盘或者源文件。

2 重新启动计算机。

一、自动注册

1 管理工具→终端服务器授权→右键单击服务器→激活服务器

2 点击“下一步”之后选择“自动连接（推荐）”选项，之后按照提示填写相关资料即可完成注册并激活授权服务器

3 激活后可以选择“立即启动终端服务器客户端授权向导”并单击“下一步”开始安装许可证（管理工具→终端服务器授权→右键单击服务器→安装许可证也可）

4 许可证计划选择“Enterprise Agreement”，单击“下一步”

5 输入协议号码：6565792、5296992或6879321其中任意一个，单击“下一步”

6 在产品版本下拉菜单中选择“Windows Server 2003”，产品类型下拉菜单中选择“终端服务器每设备客户端访问许可证”，数量文本框中输入允许的最大客户端数量（1-9999），完成

二、网站注册

如果方法一、无法成功，则需要通过网站注册、激活。

1 管理工具→终端服务器授权→右键单击服务器→激活服务器，点击“下一步”

2 选择“Web 浏览器”选项，点击“下一步”

3 记录服务器的ID号

4 登陆 https://activatemicrosoftcom，在下拉菜单中选择 Chinese (Simplified) 并点击“GO”按钮

5 在选择选项中选择启用许可证服务器并单击“下一步”

6 输入服务器的ID号并填写相关资料，然后单击“下一步”

7 确认后单击“下一步”，得到激活服务器的序列号，记录此序列号

8 将7中记录的序列号填入3中的文本框后单击“下一步”，即可激活服务器

9 选中“立即启动终端服务器客户端授权向导”并单击“下一步”

10 在网页上单击“是”按钮，开始安装许可证

11 在许可证程序下拉菜单中选择“Enterprise Agreement”，填写带星号的信息，单击“下一步”按钮

12 在产品类型下拉菜单中选择‘Windows Server 2003 终端服务器“每设备”客户端访问许可证’，数量文本框中输入允许的最大客户端数量（1-9999），协议号码输入：6565792、5296992或6879321其中任意一个，单击“下一步”按钮

13 确认信息无误后单击“下一步”按钮，得到许可证密钥包ID，记录此ID

14 将13中得到的ID输入到9中的文本框，单击 “下一步”，完成

注：如果是已经激活终端服务器或者是第二次安装许可证，方法一、步骤3括号；方法二在5中选择安装客户端访问许可令牌。

终端服务在Windows网络环境中是一种很有用的服务。但如果使用不当会给用户带来很多麻烦。例如会导致用户数据丢失、给网络带来安全隐患等风险。终端服务在配置过程中，仍然有一些内容值得引起大家的注意。　　一、必要时让服务器在疏通模式下运作。

虽然终端服务很早就在微软的操作系统中存在。但是在2008R2中还是对其进行了一些改善。其中疏通模式就是一个很大的亮点。有时候管理员出于某种原因可能需要将终端服务器脱机。在以前的版本中，可能会导致用户数据的丢失。因为那时管理员只能够使用change logon /disable命令来断开用户的连接。但是使用这个命令，虽然可以防止新用户的登陆，但是这个命令同时也会阻止断开会话连接的用户重新连接到终端服务器。此时当终端服务器停机时，用户就会丢失他们的会话以及和这个会话相关的数据。为此在以前的版本中，管理员如果要让终端服务器脱机，需要非常的谨慎。如需要选择在用户下班的情况下才脱机等等。这会给日常的维护工作带来不必要的麻烦。

但是在2008R2中这种情况有了很大的改善。因为在这个版本的终端服务中引入了疏通模式。将服务器设置为这个工作模式时，管理员将服务器脱机后，可以阻断新用户的连接。但是服务器会允许带有已有会话的用户重新连接到终端服务器。当然在用户重新连接后会有相关的提示，让用户及时提交相关的作业。显然疏通模式下的工作方式要人性化许多。要改变这个工作模式，也是非常简单的。一个命令就可以完成：change logon /drain。注意当运行了这个命令之后，没有任何其他新的用户可以登陆到这个终端服务器。如果要允许用户重新登陆时，稍微麻烦一点，需要两个步骤。首先是运行命令change logon /drainumtilrestart。其次这个终端服务就会重新启动。然后用户可以登陆。可见这个疏通模式对于管理员维护终端服务器有很大的帮助。

二、通过WSRM来为终端服务的用户分配资源。

当将终端服务作为一个服务器时，连接到上面的用户会有很多。随之而来的问题是如何分配这些资源如果没有采取任何的措施，系统默认情况下是平均分配的。此时当用户一多，终端服务的性能就会急剧下降。为此在2008的终端服务中，微软也借鉴了其他产品的相关经验，使用WSRM来为终端服务器的各个用户管理资源的使用。

WSRM(系统资源管理器)也是win2008中新实现的一个内容。并且在R2补丁中还对其进行了一些修缮。这个组件允许系统管理员来分配服务器的资源。即将内存、CPU等关键资源如何在应用程序、服务、进程之间进行分配。如果将WSRM系统资源管理器与终端服务结合使用，管理员就可以比较精确的控制每个用户或者会话所允许使用的资源最高值。通过限制用户或者会话可以使用的资源，系统管理员就可以减少用户最大限度的使用终端服务器资源的机会。

在实际工作中，我们往往会为一些特殊的帐户，设置比较高的资源使用量。而对于普通的用户则会进行限制。这主要是因为在终端服务维护时，如对终端服务进行升级，会消耗系统比较多的资源。否则的话，就可能会导致升级失败或者升级的时间延长。为此需要优先保证管理员帐户的需求。其次如果在同一个服务器上运行了多种服务。如除了终端服务外还有邮箱服务等等，就需要限制终端服务总的资源消耗量。以免终端服务占用了太多的资源，而给其他应用服务的运作产生了不利的影响。

总之在2008的环境下，如果终端访问的用户数量比较多或者多个应用服务同时部署在一台服务器上，则笔者都会建议用户要使用WSRM系统资源管理器来合理分配各个用户、各个服务可以使用的最大资源量。同时对于不同的用户、不同的服务根据实际情况还需要有区别的对待。即关键用户、关键服务要放宽资源的使用限制。而对其他次要的、或者偶发性资源占用情况比较多的服务，需要加以限制。从而减少各个服务、各个用户资源争夺的情况。

三、谨慎终端服务器的升级。

如果要对终端服务器进行升级换代，笔者建议是采用全新安装的方式。但是如果服务器上除了终端服务还有其他应用服务，则采取这种方式并不是很合理。如果数据库服务于终端服务都在同一台服务器上，那么重新安装的话，还需要重新部署数据库服务。这个工作两就会很大。在这种情况下，只有对终端服务进行升级。不过在升级的时候，需要特别的谨慎。虽然微软在升级这块上做的已经非常的不错。但是在实际工作中还是经常会遇到升级后终端服务无法正常运行的情况。发生这种情况的原因有很多。如升级失败、升级后的兼容性问题等等。

为此笔者建议，在终端服务器上应用任何操作系或者应用程序更新(打补丁也是如此)之前，都需要在独立的服务器上进行测试。也就是说，先克隆一台终端服务器(与原有的终端服务器具有相同的服务与应用程序)，然后在这台克隆的终端服务器上先进行升级。以判断升级过后是否会与现有的应用程序与服务产生冲突。在这个过程中，管理员还可以发现一些相关资料上没有提到的内容。如升级之前需要的准备工作、升级之后相关的应用服务是否需要重新配置等等。如在服务升级之后，有时候可能需要重新安装打印机驱动程序等等。这些都是很难预测的。只有通过测试之后才能够发现问题。

基于升级过程中可能发生的难以预测的原因，笔者建议在升级之前要谨慎，需要做好相关数据的备份。当然作为最佳的做法，笔者还是推荐使用带有最新的终端服务器代替原有的服务器。即现在一台服务器上部署好最新版本的终端服务，直接将原有的服务器替换下来。虽然这么做工作量会比较大，如需要重新创建每个文件共享和打印设备、需要重新安装最新的驱动程序来支持每个客户端。但是相对于升级后产生的问题来说，这么做还是值得的。在实际工作中，最大的问题并不是工作量增加的问题。而是需要增加一台额外的服务器作为备用。其次就是仍然需要进行数据的移植，如用户数据库等等。

总之在Win2008R2中对于终端服务做了很多改善，添加了不少新的特性。系统管理员需要灵活使用这些特性来改善自己的工作。不过从低版本的终端服务升级到2008R2版本的终端服务时，仍然需要谨慎。在这里的建议是重新部署，而不是选择升级。

终端相当于连接在网络上的你的电脑

终端服务器可以理解为网吧里的服务器，与外网相连的内网服务器

终端服务就是内网的服务项

终端打字机就是网络打字机的一种

终端屏幕就是只有输出功能的屏幕