介绍Windows Server 2008下的终端服务角色

1.1 终端服务器概述

远程桌面使用用来远程管理服务器的，最多只能连接2个会话。如果您想让更多该用户连接到服务器，使用安装服务器上的程序，您必须在服务器上安装终端服务，并有终端服务器授权为使用终端服务的用户或设备授权，需要购买终端服务器授权许可。

1.1.1 什么是终端服务？

通过 Windows Server? 2008 中的“终端服务”服务器角色提供的技术，用户可以访问终端服务器上安装的基于 Windows 的程序或访问完整的 Windows 桌面。使用终端服务，用户可以在企业网络内部或通过 Internet 访问终端服务器。用户可以连接到终端服务器来运行程序，保存文件，以及使用该服务器上的网络资源。用户可以使用远程桌面连接或 RemoteApp 程序访问终端服务器。

终端服务可使您在企业环境中有效地部署和维护软件。可以很容易从中心位置部署程序。由于将程序安装在终端服务器上，而不是安装在客户端计算机上，所以，更容易升级和维护程序。

用户访问终端服务器上的某个程序时，该程序的执行在服务器上进行，只有键盘、鼠标和显示器的信息才通过网络传输。每个用户只能看到自己的会话。服务器操作系统透明地管理会话，与任何其他客户端会话无关。

1.1.2 为什么使用终端服务？

如果在终端服务器上（而不是在每台设备上）部署程序，则可以带来诸多好处。例如：

可以快速地将基于 Windows 的程序部署到整个企业中的计算设备上。在程序经常需要更新、很少使用或难以管理的情况下，终端服务尤其有用。

终端服务可以明显减少访问远程应用程序所需的网络带宽量。

终端服务有助于提高用户的工作效率。用户可以从家用计算机、展台、低能耗硬件等设备以及非 Windows 操作系统访问终端服务器上运行的程序。

对于需要访问中心数据存储的分支机构工作人员来说，终端服务可提供更好的程序性能。有时，数据密集型程序没有针对低速连接进行优化的客户端/服务器协议。较比典型的广域网连接而言，此类通过终端服务连接运行的程序性能会更好。

1.1.3 终端服务角色服务

终端服务是由多个子组件（称为“角色服务”）组成的服务器角色。在 Windows Server 2008 中，终端服务由下列角色服务组成：

终端服务器：“终端服务器”角色服务使服务器可以托管基于 Windows 的程序或完整的 Windows 桌面。用户可以连接到终端服务器来运行程序，保存文件，以及使用该服务器上的网络资源。

TS Web Access： Terminal Services Web Access (TS Web Access) 使用户可以通过网站访问 RemoteApp? 程序以及远程桌面与终端服务器的连接。

TS Licensing： 终端服务授权（TS 授权） 管理每个设备或用户连接到终端服务器所需的终端服务客户端访问许可证 (TS CAL)。使用 TS 授权 在终端服务许可证服务器上安装、颁发 TS CAL 并监视其可用性。

TS Gateway： 终端服务网关（TS 网关） 使授权远程用户可以从任何连接到 Internet 的设备连接到内部公司网络上的资源。

TS Session Broker： Terminal Services Session Broker (TS Session Broker) 支持在服务器场中的终端服务器之间进行会话负载平衡，并支持重新连接到负载平衡终端服务器场中的现有会话。

1.1.4 终端服务远程应用程序（TS RemoteApp）

RemoteApp 程序是通过终端服务远程访问的程序，它们的行为就好像运行在最终用户的本地计算机上一样。用户可以将 RemoteApp 程序与本地程序并排运行。如果用户从同一台终端服务器运行多个 RemoteApp 程序，RemoteApp 程序将共享同一个终端服务会话。通过此功能可以节省用户会话，并且可以更快地连接到同一台服务器上的每个其他 RemoteApp 程序。

通过使用 TS RemoteApp Manager，可以创建 Windows 安装程序包（.msi 程序包）或 .rdp 文件，然后在整个组织中分发程序包。或者，如果希望用户通过 Web 访问 RemoteApp 程序，可以使用 TS Web Access 将 RemoteApp 程序部署到网站上。

为什么使用 TS RemoteApp？

在许多情况下，TS RemoteApp 可以降低复杂程度并减少管理开销，例如：

ü 分支机构，其本地 IT 支持和网络带宽可能有限。

ü 用户需要远程访问应用程序的情况。

ü 部署行业 (LOB) 应用程序，尤其是自定义 LOB 应用程序。

ü 没有为用户分配计算机的环境，例如“公用办公桌”或“旅馆式办公”工作空间。

ü 部署某个应用程序的多个版本时，尤其是当在本地安装多个版本可能会造成冲突时。

1.1.5 什么是 TS Web Access？

通过 TS Web Access，用户可以从 Web 浏览器使用 RemoteApp 程序以及远程桌面与终端服务器的连接。通过 TS Web Access，用户可以通过访问网站（从 Internet 或 Intranet）访问可用 RemoteApp 程序的列表。在启动 RemoteApp 程序时，将在托管 RemoteApp 程序的终端服务器上启动终端服务会话。

在部署 TS Web Access 时，可以指定充当数据源的终端服务器，以填充网页上出现的 RemoteApp 程序的列表。

1.1.6 什么是 TS Licensing？

TS 授权 管理每个用户或设备连接到终端服务器所需的 TS CAL。使用 TS 授权 在终端服务许可证服务器上安装、颁发 TS CAL 并监视其可用性。

若要使用终端服务，必须至少拥有一台许可证服务器。对于小型部署，可以将“终端服务器”角色服务和 TS 授权 角色服务安装在同一台计算机上。对于较大型的部署，建议将 TS 授权 角色服务与“终端服务器”角色服务安装在不同的计算机上。

只有正确地配置了 TS 授权，终端服务器才能继续接受来自客户端的连接。

1.1.7 终端服务网关

任意地点的安全访问：很多时候出差在外的员工需要应用某个特性的应用软件，如公司定制的财务软件等，这时候员工可以通过手机、笔记本等移动设备，在任意地点连接公司终端服务器进行应用。如在Windows Server 2008中，用户可以利用终端服务中的TS Web Access功能，没必要连接VPN，仅仅通过Web方式即可访问企业终端服务器，并且可以获得良好的用户体验。此外，Server 08中的终端服务具有网关功能TS Gateway，可以裁决用户是否满足连接条件，并且可以确定用户可以连接哪些终端服务器，保证了安全性。

终端服务网关（TS 网关）是这样一种类型的网关，它允许授权用户使用 Internet 连接从任何计算机连接到企业网络上的远程计算机。TS 网关使用远程桌面协议 (RDP) 和 HTTPS 帮助创建更安全的加密连接。

在远程桌面连接的早期版本中，人们无法跨过防火墙和网络地址转换器连接到远程计算机，原因是为增强网络的安全性，通常将 3389 端口—（用于远程桌面连接的端口）—堵塞。但是，TS 网关服务器使用 443 端口，通过安全套接字层 (SSL) 隧道来传输数据。

TS 网关服务器具有这些优点：

ü 支持远程用户通过Internet安全连接到企业网络上的资源，消除了 VPN 连接的复杂性问题。

ü 充分利用 HTTPS 协议的安全性与可用性，实现了无需客户端配置即可提供终端服务。

ü 提供全面的安全配置模型，使管理员能控制对网络上特定资源的访问。

ü 使用户能通过不同防火墙和网络地址转换器 (NAT) 远程连接到终端服务器与远程工作站上。

ü 提供一种更安全的模式，使用户通过 VPN 只能访问指定的服务器与工作站，而不是整个企业网络。

ü TS网关通过使用HTTP Secure Sockets Layer (SSL)通道传输所有RDP流量（通常会通过端口3389发送）至端口443。这意味着所有用户客户端电脑以及TS网关的流量都将在经过Internet传输时进行加密。

1.1.8 什么是 TS Session Broker？

TS Session Broker 在负载平衡的终端服务器场中跟踪用户会话。TS Session Broker 数据库存储会话状态信息，包括会话 ID、会话关联的用户名以及每个会话所在的服务器的名称。拥有现有会话的用户连接到负载平衡服务器场中的终端服务器时，TS Session Broker 将用户重定向到其会话所在的终端服务器。这样可以阻止用户连接到服务器场中的其他服务器并启动新会话。

如果启用了 TS Session Broker 负载平衡功能，TS Session Broker 还跟踪服务器场中每台终端服务器上的用户会话数，并将没有现有会话的用户重定向到会话数最少的服务器。通过此功能，可以将会话负载在负载平衡终端服务器场中的服务器之间均匀分配。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1123694，如需转载请自行联系原作者