WindowsServer2008：终端服务攻略指南

在如今这个网络无处不在的时代，传统介质的单机产品已经越来越不能满足人们的需求，更多的软件商已经意识到了网络带给它们的便利与挑战，以微软为例，无论是网络补丁分发，还是基于网络的正版增值计划都体现了微软对于网络的利用，而对于企业用户来讲，这一点则主要体现在终端服务这方面。

　一、概念篇

　Windows Server 中的终端服务可以提高企业在各种应用情境下的软件部署能力，并且允许在应用程序和管理基础结构中融入更多的灵活性。当用户在终端服务器上运行应用程序时，应用程序实际上在服务器端执行，因此仅需要在网络上传输键盘、鼠标和显示信息。每位用户均只能看到他自己的会话，会话由服务器操作系统透明的进行管理，并且独立于其它任何客户端会话。终端服务提供了在 Windows Server 上承载多个并发客户端会话的能力。基于 Windows 的标准应用程序无需做任何修改便可在终端服务器上运行，而且可以使用所有标准的 Windows Server 管理基础结构和技术来管理客户端桌面系统。通过这种方式，企业能够从当今 Windows 操作系统环境提供的丰富应用程序和工具选择中做出适合自己需要的选择。

　面对如此贴近企业的应用，微软自然会不断的对其进行增强，在今年即将上市的Windows Server 2008中，终端服务器方面性能的改进就非常的令人欣慰。用户可以自主的决定那些程序可以远程接入。同时用户通过新的远程程序和终端服务网关能够使用Citrix公司的程序。用户还可以接入该程序，配置该程序，虚拟化以及实现随时安全接入的功能。下面我们就来逐一介绍微软终端服务的魅力所在：

　终端服务网关（Terminal Services gateway）

　在Windows Server 2008中终端服务的一个重大改进就是终端服务网关（Terminal Services Gateway），通过这个功能，用户可以在世界各地通过Internet上的一个门户来访问终端服务程序。所有的处理过程都是通过安全加密的HTTPS通道来完成的，如果用户熟悉Exchange Server或者ISA Server的话，就会发现这一特性非常的像Outlook 2003经由虚拟个人网络（***）访问邮件服务器时使用的RPC-over-HTTP的功能。

　终端服务网关（Terminal Services Gateway）可以穿过防火墙正确的完成网络地址转换，除此之外，因为数据是通过HTTPS这个几乎人人都会使用的协议进行传输的，这就避免了以前通过远程桌面协议（RDP）进行传输时遇到的无法穿透防火墙的问题，因为桌面协议（RDP）使用的3389端口在防火墙上往往是会被屏蔽掉的。

　管理员为不同的用户组设置不同的授权策略，这样就可以控制不同用户通过网关机器连接终端服务的权限，有了这个功能我们就不再需要为每个Internet上的用户开放的软件安装权限了。

　如果说终端服务为网络的分布式办公提供了可能，那么通过终端服务网关（Terminal Services Gateway）则真正使得企业部署的软件变得灵活而又可控。

　远程管理基于 Windows Server 的计算机

　任何的解决方案都需要有力工具的支持，终端服务也不例外，在终端服务技术的支持之下，Remote Desktop for Administration 专门针对服务器管理而设计。Remote Desktop for Administration 可极大减轻远程管理的工作负担，由于它并不具备完整终端服务器组件的应用程序共享和多用户能力，也不具备进程调度功能。所以，Remote Desktop for Administration 可在已经十分繁忙的服务器上使用，并不会对服务器性能和 CPU 利用率造成显著影响，这使得它成为了执行远程管理的一项方便且高效的服务。

　Remote Desktop for Administration 可用于远程管理 Windows 服务器。此模式旨在为操作员和管理员提供对典型后端服务器和域控制器的远程访问能力。管理员可访问在 Windows 环境下运行的具备图形化用户界面的工具，即便他并不使用基于 Windows 的计算机来管理服务器也没有关系。管理员可以使用终端服务客户端软件，从任何设备上和通过任何网络连接安全地管理基于 Windows服务器的计算机。管理员能够执行的任务包括：目录维护、病毒扫描、备份、重启，甚至是将服务器提升为域控制器，所有这些都可以在远程位置完成。

　其实在Windows Server 2003版本中，终端服务的管理控制台就已经非常强大，但是终端服务的管理在Windows Server 2003中依然有不尽如人意的地方，如果你使用过基于Windows Server 2003的终端服务你就会发现需要了解和操作的管理控制界面实在是太多了，而在Windows Server 2008中这一问题得到了很好的解决，用户只需要通过一个单一的管理控制台就可以完成所有的配置和管理工作。

　终端服务远程程序

　终端服务的优势就在于集中管理。通过使用终端服务，企业可确保所有客户端都使用应用程序的最新版本，因为软件只需在服务器计算机上安装一次，而不是在企业的所有桌面计算机上都进行安装。这种模式降低了桌面计算机的更新成本和难度，尤其是那些位于远程位置的计算机或分支办事处环境中的计算机。组织可通过局域网 （LAN）、广域网 （WAN） 和拨号连接，使用终端服务器模式向各类桌面环境交付基于 Windows 的应用程序。对于那些频繁更新、难于安装或者需要通过低带宽连接进行访问的业务应用程序来说，这是一种极具成本效益的部署手段。

　终端服务不仅适用于多种桌面平台，还允许用户使用较老的过时设备访问最新应用程序，帮助企业逐步对较老设备进行替换。而在这方面之前我们更多的是依赖一些第三方加载项产品，例如Citrix MetaFrame如果你非常熟悉Citrix MetaFrame的产品，那么你一定能够体会到它带给你的体验，在全新的Windows Server 2008中则开始自己支持这些功能，在Windows Server 2008中用户可以直接运行终端服务器上的应用程序，并且允许应用程序整合到本地的Windows的一个副本上，用户将看到一个独立的任务栏按键，一个应用程序窗口区域，以及更具功能性的Alt-Tab切换等等。

　这些功能对于用户来讲是完全无缝透明的，理论上讲，用户并不知道他们的程序驻留在哪里，除非由于网络原因或者服务器过载造成的偶然的性能下降或运行缓慢，用户才会发现程序好像并非保存在本地的计算机。简单来说，终端服务远程程序是通过RDP替代原先完整操作系统会话环境来部署单一应用程序的一种方法，这样的改变简化了负载，简化了配置管理，更简化了管理员的工作压力。

　使用远程桌面 Web 连接

　远程桌面 Web 连接 （Remote Desktop Web Connection） 是一个 ActiveX 控件，具有与远程桌面连接的可执行版本完全相同的功能，但是它通过 Web 提供这些功能，并且无需在客户端计算机上安装可执行版本。当在 Web 页面中托管的时候，该 ActiveX 客户端控件允许用户通过使用 TCP/IP 协议的互联网或内部网连接，登录到终端服务器，并可在 Internet Explorer 内部查看 Windows 桌面。

　远程桌面 Web 连接是通过 URL 提供终端服务器功能的简单途径。同时这个服务也非常的智能，无论加载多少程序只要是由同一用户发起的，那么在终端服务中都只会保存一个会话，这样就使得服务器端的资源管理更加的便捷，同时企业还可以将网络访问整合到SharePoint 站点上，这样用户就可以通过企业的协作平台来访问多种程序。

　除此之外，Windows Server 2008中的终端服务还有其他的一些革新，例如更加强大的团队协作功能，其中包括单点登录（SSO）终端会话，会话监控功能，以及整合的Windows系统资源管理器，这些改进都可以更好的监视系统的性能和资源的使用情况，从而使得终端服务与用户更紧密的无缝集成。

　当然新的变化永远是层出不穷的，微软正在计划引入一个全新的RDP client的最新版本－version 6－以用来整合所有的新功能，加之，新的RDP客户端版本将会支持更加精确的带宽使用率，从而是RDP的通讯更加畅通无阻。

　试想在未来的某一天我们再也不需要购买任何的软件产品，甚至是操作系统，我们需要做的就是打开电脑连入网络，然后选择自己需要的环境开始工作或是娱乐，当然这一切还取决于软件商的销售策略以及授权认证方式的完善，但单从技术的角度上讲，这一天已经离我们不再遥远，至少在大型企业内部终端服务的应用在今后的日子中将会越来越广泛。

1、如果计算机中开启了系统防火墙，可以先关闭后再重试。

2、如果有安装路由器的用户，也建议重启一下路由器。

3、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现800错误，需要与网络接入部门联系。

4、桌面右键单击“我的电脑”或“计算机”选择打开管理，在服务和应用程序中，点击“服务”，找到 IPsec Policy Agent服务，检查有没有禁用该服务。改为自动，服务状态已启动。

有时候我们在登录***服务器的时候，会遇到这样的提示：

“错误800：不能建立***连接，***服务器可能不能到达，或者此连接的安全参数没有正确配置”或“错误800：未简历远程链接，因为尝试的***隧道失败。***服务器可能无法访问。如果该连接尝试使用L2TP/IPSec隧道，则IPSec协议所需的安全参数可能配置错误。”

这分别是Windows XP系统和Windows 7系统的提示，本文就为您介绍一下，***错误800的原因及解决方法。

***连接错误800解决方法

1、检查配置中的“目的地的主机名或IP地址”使用的是域名而不是IP地址，由于***隧道需要定期进行维护，我们有可能变更***隧道服务器的IP地址，但域名不会改变。

2、您所在网络与我们的***隧道服务器没有正确的通道，请尝试更换配置中的“目的地的主机名或IP地址”，将其调整为我们的登陆服务器IP地址或者域名。

3、临时性故障，多半是由于您使用的DNS服务器繁忙无法对服务器IP地址或者域名的名字进行解析所引起，可以使用以下操作：开始—运行—打开：cmd—确定，执行命令ipconfig /flushdns后再进行***连接尝试。

4、您机器上的防火墙规则设置过于严格，导致无法对外进行连接，请调整或关闭所有防火墙再进行尝试。

连接***提示错误800主要是没有关闭防火墙和路由固件过期所致，用户可以先排除是否是防火墙没有关闭，再进行下一步操作。如果有安装家庭网关的用户，也建议重启一下家庭网关设备。

如果以上方法均不起作用的话，则可能是由于系统内部的故障会导致配置（注册表信息）出现异常，这是Windows系统中常见的问题。处理方法是删除原***隧道连接的配置，重新建立一个新的***隧道连接即可。

参考资料

闪电下载吧闪电下载吧[引用时间2018-1-21]

L2TP支持MP（Multilink Protocol），把多个物理通道捆绑为单一逻辑信道

pptp使用M$的拨号网络作为客户端，使用gre做tunnel封装，mppe进行加密。

l2tp也使用M$的拨号网络做为客户端，在lac进行一次证，在lns进行二次认证，tunnel是处于lac与lns之间。加密方式可以选择mppe和ipsec。

ipsec使用ESP/AH做为tunnel封装，一般需要专用的客户端。如cisco的*** client或其它厂商的client

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

1PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X25虚拟电路（VCs）或ATM VCs网络上使用。

2PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

3L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

4L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道。

1、***：虚拟专用网络；功能是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***可通过服务器、硬件、软件等多种方式实现。***属于远程访问技术，简单地说就是利用公用网络架设专用网络。

2、abbr海军武器采购；武器；海军武器采购。

***的实现有很多种方法，常用的有以下四种：

（1）***服务器：在大型局域网中，可以通过在网络中心搭建***服务器的方法实现***

（2）软件***：可以通过专用的软件实现***。

（3）硬件***：可以通过专用的硬件实现***。

（4）集成***：某些硬件设备，如路由器、防火墙等，都含有***功能，但是一般拥有***功能的硬件设备通常都比没有这一功能的要贵。

依据是《国际通信出入口局管理办法》（原信息产业部令第22号），规范的对象是未经电信主管部门批准，无国际通信业务经营资质的企业或个人，租用国际专线或***，私自开展跨境的电信业务经营活动。外贸企业、跨国企业因办公自用等原因，需要通过专线等方式跨境联网时，可以向依法设置国际通信出入口局的电信业务经营者租用。

参考资料：

参考资料：

　　这是一个简短的教程，目的是为了快速搭建一个可用的***，本文并不涉及有关***的正常使用内容。本简短教程基于以下硬件条件：

　　一台安装了Debian GNU/Linux 50的VPS。

　　当然理论上所有可以安装pptpd包的nix系统都可以作为主机，教程中安装方式是基于Debian的apt-get命令，其他发行版请自行对照使用。

　　这台VPS的物理位置是Fremont， CA。

　　物理位置作为***这个应用本身并不重要，在这里提出只是多此一举。

　　安装服务器端软件

　　# apt-get install pptpd

　　Debian的包管理是所有发行版里最好的，所以这条命令打完就安装完毕了我们的pptp服务器端程序。

　　配置IP地址范围

　　编辑/etc/pptpdconf，在最后添加如下地址：

　　localip 19216801remoteip 1921680234-238,1921680245

　　这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。

　　增加一个用户

　　编辑/etc/ppp/chap-secrets，在下面增加类似的条目：

　　username pptpd password

　　上面内容很好理解，最后那个星号是说允许从任何IP地址联接，如果你想单独设定IP地址也可以。

　　重启pptpd服务

　　# /etc/initd/pptpd restar

　　理论上到这里一个***就已经搭建完毕了。无论你用的是Windows还是OSX，或者是iPhone OS，都可以通过建立一个pptp链接来联入这个***。不过你并不能通过这个来上Internet，因为所有的数据都作用于那台pptpd的服务器上，而不会传入拨入的计算机设备上。要上Internet还需要这么干：

　　dns解析支持

　　编辑：/etc/ppp/options，在里面找一下“ms-dns”项目：

　　ms-dns 20867222222 ms-dns 20867220220

　　我填写的是OpenDNS的地址，当然你也可以填写电信的DNS。

　　允许转发

　　编辑/etc/sysctlconf，看一下netipv4ip_forward参数是不是1。

　　netipv4ip_forward=1

　　最后的最后，运行一下这条命令来打开iptables的转发支持：

　　/sbin/iptables -t nat -A POSTROUTING -s 19216800/24 -o eth0 -j MASQUERADE

　　注意：来自@LEMONed的消息，只有Xen的VPS可以搭建pptp，OpenVZ的不行。

　　引用来自@LEMONed的话：

　　因为openvz下只有venet0，没有eth0，而绝大多数的vps都是openvz的，然后绝大多数的openvz vps都没有masqurade，只能搭建open***并且要自签证书什么的，根本不能用pptpd。我为了给iphone搭个***曾经把这个研究透彻了

Windows server 2008发布于08年2月份，是微软网络接入保护(NAP)计划的组成部分，它拥有微软期待已久的专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。但是，考虑到微软的Forefront软件或第三方NAP相关附加产品本身有很多的特性和功能，因此我们所讲解的只是一个简单的配置，以及部分NAP功能。

　　我们先打开Network Policy Server然后在下拉框里面配置NAP：

　　注意到它支持各种不同的网络连接方法，包括DHCP，8021x和***。可以选择任何一种连接方法，它们都可以使端点连接到受保护的网络，然后给予该选择一个名称。在配置界面底部提供了帮助文件，这些文件说明了一些在安装过程中的需求。它们不同于一般的帮助文件，不仅非常好的描述了该网络基础架构中需要的元素，而且指出了哪些元素是系统不支持的。

　　例如，有线8021X就可以使该向导建立连接请求策略以及健康配置NAP网络系统。

　　8021x使用的NAP enforcement

　　基于端口的网络访问控制8021x使用的NAP enforcement客户端的部署是基于运行在网络策略服务器(NPS)和EAP enforcement主客户端组件之上的。使用基于8021x的NAP enforcement客户端，NPS服务器可以指示一个8021X认证交换机和兼容8021X的无线接入点,从而调整不符合8021x网络的客户端。NPS服务器通过运用IP过滤器和虚拟局域网连接标识符，可以限制客户端的网络接入。 8021x的enforcement客户端通过访问8021x的服务器，对所有访问网络的计算机提供强大的网络访问限制。

　　有线8021x的需求

　　要部署基于有线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的认证交换机。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制，并且保证客户端的NAP服务开启。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　如果你使用了智能卡或证书来进行PEAP-TLS或EAP-TLS与TLS验证的，需要使用活动目录的证书服务(AD CS)来部署一个公共密钥基础设施(PKI)。

　　如果你使用PEAP-MS-CHAP第二版，需要使用AD CS来进行服务器端的认证或者从其它受信的根证书颁发机构购买服务器认证。

　　无线8021x的需求

　　要部署基于无线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的无线访问接入点。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　在这一点上，如果为了达到测试目的，我建议你选择DHCP。配置一个独立的Windows Server 2008服务器并选择了8021x的连接可能会带来很多问题。微软的网站上支持页面有关于PEAP-TLS身份验证和Windows Server 2008的更多信息。

　　接下来，添加一个RADIUS客户端节点，比如身份验证交换机。它们不是客户端PC，但其他任何用户的身份验证过程都需要与RADIUS服务器对话。

　　其次，建立一个有相同策略要求的组，比如客户工作人员或者人力资源工作人员。这些群体必须已经建立在Active Directory(活动目录)中。可以到Manager/Configuration/Groups部分然后增加这些组。

　　下一步是建立一个修复服务器组来存储更新软件和修复不符合策略要求客户端电脑。也可以包括一个URL，为没过通过评估用户提供相关信息，使其到达评价标准，如下图所示：

　　下一步是建立一个健康策略，使用的是NAP服务器的健康验证器。在此屏幕上，有一个选项，用于确定PC不通过审核后将会怎样：它可以只能访问受限网站，或者被获准进入所有网络。(注意这两个选项在下面的屏幕截图屏幕底部的复选框)。

　　这就是健康策略定义。点击完成，回到网络策略服务器管理器，在NAP菜单树上，右键系统健康验证器其属性表，如下所示：

　　这里两个标签，分别对应XP客户端和Vista客户端，另外，Vista的标签有更多的项目配置项。那么对于老版本的Windows和非Windows操作系统客户端怎么办呢其实，他们不包括在NAP中。对这些机器进行网络访问管理，必须有额外的第三方软件。

　　在这里，告诉验证器检查每台电脑，确认他们是否打开了防火墙，安装防病毒更新，等等。一旦完成，再次回到策略服务器的策略菜单树，并确保所有的各项策略得到正确设置。这里显示了由向导已经配置的各项网络策略：

　　单击确定，这时你已成功的设置你的第一个NAP服务器!有些服务可能需要调整，以便在开机时它们能正常启动，如果不使用这些服务则不必进行调整。

　　同样，请记住，这只是一个基础的配置。杀毒软件供应商及

　　代理等将需要挂接到该服务器，接下来，你就可以开始体验NAP和Windows Server 2008了。