http://www.zeropage.de
zeropage is © by the L13-Crew, all part of TUI-NET
You are here: http://www.zeropage.de/it/terminal-services/install

3 Installation

3.1 Voraussetzungen

Bei den Terminal Services handelt es sich primär um eine Client-Server-Technologie. Benötigt wird demzufolge mindestens ein Server (mehrere mit loadbalacing möglich? -> 2test) und die gewünschte Anzahl (mobiler) Clients, jeweils Hard- und Software. Ausserdem noch ein Lizenzserver (kann auf dem Terminal Server mitinstalliert werden) nebst notwendigen Lizenzen. Die Anzahl der Clients ist nur auf die Anzahl der Lizenzen beschränkt (?).
Darüber hinaus lassen sich auch Windows XP (home & professional) sowie die vorliegende Client Preview von Windows Longhorn mittels Terminal Services remote benutzen - jedoch jeweils beschränkt auf einen einzigen angemeldeten Nutzer. [TO-DO: das noch mal genauer beschreiben, wie man das aktiviert, Rechte, Unterschiede zu Win2003 Server usw.]

3.1.1 Server

Die Auswahl der Hardware richtet sich beim Server primär nach der Anzahl der zu bedienenden Clients. Zu beachten gilt hierbei, das nicht nur aktive Verbindungen auf dem Server Ressourcen verbrauchen (siehe weiter unten: Parken von Verbindungen).
Wie unter Windows 2000 gibt es in der 2003er-Version verschiedene Serverversionen, wobei im Terminalserverumfeld nur der Standard beziehungsweise Enterprise Server interessant sind. Der Webserver enthält keine Terminaldienste und der Datacenter Server hat bezüglich dieser Dienste keine zusätzlichen Funktionen.[iX2/2004]

Auf dem Server werden installiert:
  1. das Serverbetriebssystem (hier: Windows Server 2003; alternativ: Windows Server 2000, Windows NT 4.0 Server; ? - Windows NT 3.51 Server)
  2. der Terminal Services Server (hier: Serverrolle)
  3. der zusätzlich notwendige Terminal License Server
    • kann auch auf einem separaten Server installiert werden
    • zu Testzwecken auch ohne möglich; siehe weiter unten
  4. sowie alle gewünschten Anwendungen (eMail, News, www, Office, scientific, ...)

3.1.2 Client

Beim Client sind Mindestanforderungen einzuhalten, damit die Clientsoftware überhaupt ausführbar ist; ansonsten richtet sich die Hardware und ~Ausstattung des Clients nach dem Anwendungsprofil (z.B. Soundwiedergabe/Aufnahme benötigt usw. - siehe
Kriterien für die Anschaffung von Client-Geräten)

Auf den Clients werden installiert:
  1. ein die Hardware unterstützendes Betriebssystem
  2. der Terminal Services Client ("Remote Desktop Connection")
RDP/TS-Clients sind zur Zeit verfügbar für: Windows-x86, Windows CE, Linux
(? - Windows-Alpha, MacOS, AmigaOS, ...)

3.2 Lizenzierung

[TO-DO ... irgendwie will der Kapitalismus ja dran verdienen]

3.3 Windows Server 2003

Der Windows Server 2003 steht seit dem 24. April 2003 zum Verkauf bereit und ist in vier verschiedenen Versionen verfügbar:

Web Edition (nur 32 Bit) Standard Edition (nur 32 Bit) Enterprise Edition (32/64) Datacenter Edition (32/64)
Prozessorsupport max. 2 max. 4 max. 8 max. 32, default: 4
Memorysupport max. 2GB max. 4GB max. 32GB (32Bit)
max. 64GB (64Bit)
max. 64GB (32Bit)
max. 512GB (64Bit)
Failover HA Clustering N/A N/A 8 Knoten 8 Knoten
Network Load Balancing max. 32 Knoten max. 32 Knoten max. 32 Knoten max. 32 Knoten
Terminal Services Remote Admin Server und Remote Admin Server und Remote Admin Server und Remote Admin
Windows Resource Manager N/A N/A ja ja
(nach Quelle: Dell)
Genauere Details zu den Unterschieden zwischen den einzelnen Versionen gibt es
bei Microsoft

getestete Version:
Microsoft Windows Server 2003, Enterprise Edition, Build 3790, englisch
Hinweis: Die via MSDNAA verfügbaren Versionen (inkl. Standard und Enterprise) sind jeweils auf zwei CALs beschränkt und nicht upgradebar!
[TO-DO: ServicePacks?]

Installation:
Die Grundinstallation unterscheidet sich nur unwesentlich von der eines bisherigen NT-Servers und ist von halbwegs versierten Admins problemlos meisterbar. Einige Besonderheiten, die ich erwähnen möchte:
Was mir negativ auffiel:
das ist der Einfachheit halber mit auf die unabhängig von dieser Arbeit existierende Microsoft Windows - bugreport & wishlist/feature-request-Liste gewandert.

Was mir positiv auffiel:

3.3.1 Windows Server 2003 security

Bezüglich der Sicherheitsaspekte hat sich bei Windows Server 2003 gegenüber den Vorgängerversionen erfreulicherweise einiges getan. So wurden einige Default-Einstellungen restriktiver gefasst, bestimmte Komponenten (wie z.B. der IIS) werden standardmässig nicht mehr mit installiert und auch einige Dienste sind erst mal deaktiviert.
Sicherheit scheint seit Windows Server 2003 bzw. Windows XP SP2 bei Microsoft erstmals wichtiger zu sein als Funktionalität, so wurden auch die Entwickler zu einer Reihe von Schulungen über die Erstellung von sicherem Code geschickt [tcc04/2004].
Weitere grundlegende Hinweise zum Verbessern der Systemsicherheit gibt es auf meiner Homepage im Bereich IT-Security unter
"Härten/hardening".

3.4 Installation der Terminal Services

  1. Installation des Windows 2003 Servers
    Aus sicherheitstechnischen Gründen sollte wie immer das System erst dann physisch an ein Netzwerk angeschlossen werden, wenn das Einspielen der Patches und updates sowie die Konfiguration abgeschlossen sind.
  2. Rolle hinzufügen: Terminal Services
    (ACHTUNG: Server wird ohne Rückfrage neu gestartet!)
    Ist der Server Teil einer Windows-Domain, kann diese Administration u.U. nicht lokal vorgenommen werden.
    allow users to connect remotely to your computer   Der Server muss anschliessend noch für remote-logins freigeschaltet werden. Dies geschieht in der Systemsteuerung unter "System". Dort den Reiter "Remote" auswählen und "Allow users to connect remotely to your computer" aktivieren.
  3. Anlegen der Benutzer und Hinzufügen der Benutzer zur Gruppe "Remote Desktop Users"
    Dies erfolgt im Grossen und Ganzen wie bisher gewohnt unter Windows NT. Wie die Einrichtung erfolgt, welche Gruppen gebildet werden usw. sollte der vorher festgelegten Policy entsprechen (siehe Kapitel Sicherheit). Hier die wichtigsten Schritte am Beispiel meines Testservers: [TO-DO: thumbnails proportional zur Originalgroesse!]
    Im Computer Management unter System Tools -> Local Users and Groups -> Users findet man die aktuelle Nutzerliste. Dort kann man neue Nutzer anlegen.
    Der Dialog entspricht den bisheriger NT-Versionen und weist keine RD-Spezifika auf.
    Anschliessend öffnet man die Eigenschaften des Benutzers. Unter dem Reiter "Member of" gilt es nun, die benötigten Gruppenmitgliedschaften festzulegen. Weiter geht es also mit der Schaltfläche "Add" ...
    Im nun folgenden Dialog wird man aufgefordert, die gewünschten Gruppen auszuwählen. Da das Beispiel rein lokal arbeitet, kann direkt mit der Schaltfläche "Advanced" zur Gruppenauswahlliste weitergeschaltet werden. Bei nicht-lokaler Definition von Nutzern und/oder Gruppen wäre vorher noch die Auswahl des Servers/DomainControllers mit Hilfe der Schaltfläche "Locations" notwendig. [TO-DO: tiefer in die non-local-Problematik einsteigen?]
    Durch Betätigen der Schaltfläche "Find Now" wird die darunter befindliche Liste mit den gewünschten Suchobjekten - in diesem Fall also den Nutzergruppen - gefüllt. Primär wichtig ist hierbei die Auswahl der Gruppe "Remote Desktop Users". Weiterhin die Gruppe "Users" - und je nach Policy ggf. noch z.B. "Power Users". Ist die Auswahl komplett, kann sie mit OK bestätigt werden. Der Dialog wird damit wieder verlassen.
    Nun werden einem noch einmal die ausgewählten Gruppen zusammengefasst präsentiert. Es ist auch möglich, dieses Textfeld direkt zu editieren. Mit OK wird die Auswahl bestätigt und der Dialog geschlossen. Damit ist die Gruppenauswahl abgeschlossen und der Nutzer kann sich von nun an via RDP anmelden.
  4. Installation des Terminal License Servers (TLS)
    Ohne diese Schritte kann der Terminal Service nur für 120 Tage genutzt werden. (90 Tage bei Windows 2000), danach läuft er im sog. "administrative mode" (max. 2 Verbindungen gleichzeitig). In der Praxis lies der 2003er Server jedoch auch keine Verbindung als Administrator mehr zu, das lokale Übernehmen von Sitzungen war ebenfalls nicht möglich. Erst nach der Produktaktivierung konnten Sitzungen wieder aufgenommen werden.
    Bei Windows 2000 ist nur ein Lizenzserver innerhalb einer Domain im ADS erlaubt, ohne ServicePack kann es u.U. dazu kommen, dass Clients keine echte Lizenz erwerben können und daher nur die temporäre 90-Tage-Lizenz erhalten. (Quelle: iX 2/2004)
    Unter Windows 2003 sieht das anders aus. Der Lizenzserver funktioniert nun ohne Reboot, er muss nicht mehr auf einem Domain Controller installiert sein und es dürfen mehrere Lizenzierungsserver in einer Domain aktiv sein. Diese teilen sich zwar nicht die Lizenzen, aber bei Ausfall des Hauptlizenzservers gibt es wenigstens noch jemanden, der temporäre Lizenzen ausstellen kann, die neuerdings sogar 120 Tage gültig sind. Von welchem Lizenzserver sich ein Terminalserver bedient, kann der Administrator über die Registry steuern, womit er zum Beispiel Lizenzen einzelner Abteilungen dediziert verwalten kann.(iX 2/2004)
    1. Installation des TLS
    2. Aktivierung des Terminal License Servers
      Der grundlegende Sachverhalt ist wie beim Server selber oder wie schon von XP bekannt. Die Aktivierung kann auch via Telephon (0800-freecall) erfolgen. Jedoch ist hier kein automatisiertes Verfahren vorgesehen (as of 2004-March), sondern man wird mit einem human operator verbunden, der neben der Angabe der Product-ID auch die Angabe von Firma, Ansprechpartner und Telefonnummer erwartet.
    3. Erwerb der CALs (Client Access Licences) [TO-DO @Uni/RZ/Fachgebiet]
    4. [TO-DO: Installation/Aktivierung der CALs]

3.5 Kriterien für die Anschaffung von Client-Geräten

Aus den Anforderungen an die Nutzung der Clients lassen sich folgende (teilweise recht offensichtliche) Zusammenstellung von Kriterien für die Anschaffung von Geräten ableiten, die als Entscheidungshilfe dienen können.

3.6 Installation der Clients

Nachdem nun der Terminal Services Server installiert ist, folgen die Clients. Bei mobilen Endgeräten kommt hier oft Windows CE zum Einsatz.
Da es sich beim Remote Desktop Client um eine reine Applikation handelt, ist nur das Vorhandensein einer funktionierenden TCP/IP-Verbindung notwendig; jedoch keine zusätzlichen Treiber oder Kernel-Module. Je nach Netzwerkverbindung ist noch die Installation weiterer Komponenten - z.B. eines VPN-Clients - notwendig. Für die Nutzung des WLAN an der TU Ilmenau ("WILNET") siehe
hier. Der Terminal Services Server sollte sich nun anpingen lassen. Für das Starten einer Remotedesktopverbindung ist nun noch Folgendes zu tun: