cnt

Terminaldienste werden erwachsen

Die Terminaldienste des Windows Server 2008 wurden stark erweitert und sind punkto Praxistauglichkeit wesentlich reifer geworden.

Artikel erschienen in Swiss IT Magazine 2008/01

     

Viele Änderungen zeigen sich bereits bei der Installation der Terminaldienste, die nun, wie alle anderen wichtigen Funktionen, als Serverrolle definiert und auswählbar sind. Nach der Auswahl der Rolle Terminaldienste wird zunächst eine Informationsseite angezeigt, in der insbesondere zu den neuen Funktionen wie dem Gateway, dem verbesserten Webzugriff oder dem Session Broker Informationen zu finden sind.



Anschliessend können die einzelnen Rollendienste ausgewählt werden. Hier finden sich insgesamt fünf verschiedene Services. Neben dem altbekannten Terminalserver und der Terminaldienstlizenzierung gibt es nun die Dienste Sitzungs-Broker, Gateway und (ebenfalls nicht ganz neu) Webzugriff. Der Sitzungs-Broker unterstützt den Lastausgleich in Serverfarmen und der Gateway den Zugriff von Remote-Benutzern in kontrollierter Weise aus dem Internet. Je nach bereits installierten Funktionen auf dem Server müssen gegebenenfalls zusätzliche Komponenten eingerichtet werden. Das Setup-Programm ermittelt diese aber und sorgt dafür, dass alle Abhängigkeiten korrekt berücksichtigt werden.


Authentifizierung beim Verbindungsaufbau

Bei der Installation muss später ausgewählt werden, in welcher Form die Authentifizierung erfolgen soll. Dabei kann zusätzlich eine Authentifizierung auf Netzwerkebene gefordert werden. Diese ist eine Funktion des RDP 6.0 (Remote Desktop Protocol 6.0), die allerdings nur in Verbindung mit Windows-Betriebssystemen und aktuellen RDP-Clients funktioniert. Dabei wird eine Authentifizierung bereits beim Verbindungsaufbau durch den Benutzer durchgeführt.



Für den Terminaldienste-Gateway muss in jedem Fall auch ein SSL-Zertifikat konfiguriert werden, weil die Kommunikation mit den externen Clients generell verschlüsselt erfolgt. Ausserdem müssen für diesen Dienst im Installationsprozess verschiedene weitere Sicherheitsparameter wie beispielsweise Autorisierungsrichtlinien konfiguriert werden. Interessant ist dabei, dass die Sicherung der Kommunikation über den Netzwerk-Richtlinienserver (NPS, Network Policy Server) des Windows Server 2008 erfolgt, der auch für die NAP (Network Access Protection) eingesetzt wird. Ausserdem werden einige zusätzliche Komponenten bei den IIS eingerichtet, darunter der RPC-über-HTTP-Proxy.


Zahlreiche Neuerungen

Einige der im Zusammenhang mit der Installation betrachteten Punkte, stehen bereits in direktem Bezug mit den wesentlichen Neuerungen der Terminaldienste beim Windows Server 2008 – wie beispielsweise der Terminaldienst-Gateway. Es gibt aber noch mehr Änderungen. Dazu gehören Optimierungen bei den Basisfunktionen wie beispielsweise eine einfachere Überwachung von Verbindungen und erweiterte Single-Sign-On-Funktionen sowie verbesserte Druckfunktionen. Ausserdem werden beim Lizenzserver nun auch Benutzer-CALs (Client Access Licenses) unterstützt, die verwaltet werden können.


Daneben gibt es eben die angesprochenen grundlegend neuen Funktionen. Die Remote-App-Unterstützung (TS Remote-App) ist dabei eine der reizvollsten Neuerungen, weil Anwendungen damit zwar zentral kontrolliert, aber in ihrem Verhalten wie lokale Anwendungen ausgeführt werden können. Damit lässt sich die Nutzbarkeit von Applikationen deutlich verbessern.
Beim Web-Access-Feature handelt es sich um einen grundlegend anderen Ansatz als die bisherige Web-Funktionalität, die über ein Active-X-Control realisiert wurde. Sie steht ebenfalls im Zusammenhang mit den Remote-Apps und erlaubt den Zugriff auf diese über eine Website.



Der oben bereits angesprochene Terminaldienst-Gateway zählt ebenfalls zu den interessanten Neuerungen, weil es den Zugriff von externen Benutzern über das Internet deutlich vereinfacht. Schliesslich gibt es noch den TS Session Broker für das Load Balancing und, ebenfalls für ein optimiertes Management von Server-Ressourcen, eine enge Integration mit dem WSRM (Windows System Resource Manager).


Optimierte Basisfunktionen

Bei den Grundfunktionen ist eine der interessantesten Neuerungen sicherlich der Support von mehr und speziellen Bildschirmauflösungen. Bisher wurden generell nur 4:3-Verhältnisse unterstützt. Nun lassen sich auch andere Formate wie 16:9 und 16:10 nutzen. Ausserdem können manuell auch eigene Auflösungen definiert werden. Zusätzlich wurden auch weitere Darstellungsoptionen wie die Umsetzung von Schriftarten ausgebaut. Generell gilt, dass man die Anzeige auf den Clients nun wesentlich flexibler gestalten kann.


Neu ist auch, dass nun ein Single-Sign-On bei Windows Vista und den Terminaldiensten erfolgen kann. Ein erneutes Log-in bei den Terminaldiensten entfällt in diesem Fall. Damit wird der Zugang zu Anwendungen vereinfacht. Diese Funktionalität muss auf dem Client wie auf dem Terminalserver konfiguriert werden.



Bei den Druckfunktionen gibt
es einen speziellen Druckertreiber, mit dem zuverlässig auf einen lokalen Drucker gedruckt werden kann. Ausserdem gibt es nun eine Option, mit der man über die Gruppenrichtlinien steuern kann, dass die Ausgabe generell auf einen definierten Standarddrucker erfolgen soll.


Remote-Anwendungen nahtlos nutzen

Die zweifelsohne wichtigste Neuerung sind die Remote-Apps. Das Konzept der Remote-Apps scheint auf den ersten Blick identisch mit Microsofts SoftGrid zu sein, einer Lösung für die Anwendungs-Virtualisierung. Der Unterschied ist aber, dass die Anwendungen eben weiterhin auf dem Terminalserver laufen, sich aber aus Sicht des Anwenders so verhalten wie lokale Anwendungen. Sie laufen also nicht im Terminaldienstfenster, sondern können wie ein lokal ausgeführtes Programm im eigenen Fenster genutzt werden. Falls mehrere solcher Anwendungen genutzt werden, verwenden sie eine gemeinsame Verbindung zum Terminalserver.



Im Grundsatz handelt es sich also um die gleichen Anwendungen, die aber nun in einer oftmals für die Benutzer angenehmeren Form bereitgestellt werden. Hier ist zu prüfen, bei welchen Programmen das Sinn macht, ebenso wie zu evaluieren ist, in welchen Fällen die Anwendungs-Virtualisierung über Microsoft Softgrid dann nicht sogar der konsequentere Schritt ist, der auch die Ausführung auf den Client verlagert.


Remote-Zugang via Web

Die neue Webschnittstelle der Terminaldienste, also TS Web-Access, unterscheidet sich fundamental von der bisherigen, auf einem Active-X-Control basierenden Lösung. Hier wird ebenfalls mit den Remote-Apps gearbeitet, die aber in diesem Fall auf dem Client ausgeführt werden. Der Client muss dabei (das ist der Wermutstropfen) mit Windows Vista und dem dortigen Service Pack 1 arbeiten. Nur dann steht die neue Funktionalität zur Verfügung, bei der der Zugriff über die Terminaldienste und die Nutzung von Remote-Apps erfolgt. Die Benutzer können über eine Website auf eine Liste von Anwendungen zugreifen und diese von dort aus einfach starten. Wenn dagegen mit älteren Clients gearbeitet wird, kann man nur die bisherigen Funktionen nutzen, also die Bereitstellung von Anwendungen über das Active-X-Control.
Die Nutzung der neuen Funktion ist einfach, weil Microsoft sowohl ein Web Part beispielsweise für Windows Sharepoint Services (WSS) als auch eine vordefinierte Website für den Zugriff bereitstellt, die sich einfach nutzen und modifizieren lassen.


Verschlüsselter Zugriff

Für einen sicheren Zugriff gerade auch von älteren Clients ist der Terminaldienste-Gateway eine Alternative. Dabei handelt es sich um eine Serverfunktion, die einen verschlüsselten und autorisierten Zugriff von Remote-Benutzern über HTTP unterstützen. Dabei wird das RDP über HTTP transportiert. Diese Funktion ist in verschiedenen Situationen wichtig. Wenn Benutzer aus dem Internet zugreifen sollen, wird sie ebenso benötigt wie in internen Netzwerken, in denen die Ports für die Nutzung von RDP nicht freigegeben werden sollen. In diesem Fall kann über den Standardport 443 gearbeitet werden, so dass keine Konfigurationsanpassungen erforderlich sind.



Durch die Integration mit den Autorisierungsfunktionen des NPS ist gleichzeitig ein hohes Mass an Sicherheit gewährleistet, weil alle Zugriffe über definierbare Regeln überprüft werden. Zudem kann eine zusätzliche Prüfung der Clients über die ebenfalls auf dem NPS basierende NAP-Unterstützung des Windows Server 2008 durchgeführt werden, um beispielsweise den Status der Patches und der Signatur-Updates für den Virenscanner zu prüfen.


Lastoptimierung

Auch der neue Session Broker ist interessant. Mit ihm kann eine Lastverteilung zwischen mehreren Terminalservern durchgeführt werden. Dabei handelt es sich um eine neue Version des Terminal Services Session Directory (TS Session Directory). Bei diesem Mechanismus wird zunächst eine Verteilung der Verbindungen auf verschiedene Server über DNS oder einen vorgeschalteten Load Balancer wie das Windows Network Load Balancing (NLB) erfolgen. Nach der Authentifizierung sorgt der Session Broker für eine optimale Verteilung der Last.


Auf dem Weg zur Reife

Die Terminaldienste des Windows Server 2008 zeigen sich stark verbessert. Microsoft hat viele interessante neue Funktionen hinzugefügt, mit denen sich auch neue Nutzungsmodelle umsetzen lassen. Allerdings benötigen einige der Features zwingend Windows Vista als Client-Betriebssystem, so dass ihr Einsatz in vielen Unternehmen zunächst noch nicht in Frage kommen dürfte.

Dennoch sollte man sich schon frühzeitig überlegen, wie man seine Infrastruktur zukünftig gestaltet. Denn mit den RemoteApps und dem separaten Produkt Microsoft SoftGrid gibt es zwei interessante neue Optionen für die Bereitstellung von Applikationen auf Clients – mit unterschiedlichen Auswirkungen auf die lokale Last, die Netz- und Serverlast und die Art und Weise, wie sich die Anwendungen gegenüber dem Nutzer präsentieren.



Microsoft hat zudem auch viel für die Skalierbarkeit und das Management getan – und die Möglichkeiten, einfach sichere Verbindungen auch von externen Benutzern zuzulassen, signifikant ausgebaut. In der Summe sind die Terminaldienste beim Windows Server 2008 deutlich gereift und zeigen sich als Lösung, die immer weniger Bedarf für Add-ons entstehen lässt. Microsoft hat hier stark aufgeholt und liefert nicht mehr nur eine Basislösung für die Terminaldienste, sondern ein Enterprise-Produkt.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER