Installatie en configuratie van Windows Server 2003 Terminal Services
advertisement
Installatie en configuratie van Windows Server 2003 Terminal Services Bart De Smet © 2006 – [email protected] – http://blogs.bartdesmet.net/bart 0. Introductie Deze syllabus werd geschreven naar aanleiding van de Anytime Anywhere Learning summit van 2 mei 2006 te Hasselt. Dit werk werd specifiek geschreven voor de deelnemers aan deze sessie; het is niet toegestaan zonder voorafgaande schriftelijke toestemming van de auteur (delen van) dit werk te verveelvoudigen op welke wijze dan ook. Tijdens de sessie maakt u kennis met de Terminal Services feature uit Windows Server 2003 in al zijn breedte, gaande van installatie en configuratie tot gebruik ervan en een blik op de toekomst van de technologie. 1. Wat zijn Terminal Services? Terminal Services is één van de features uit Windows Server 2003. Reeds in het NT4-tijdperk was er sprake van een “Terminal Server” editie. Later werd deze feature geïntegreerd in Windows 2000 Server als een service die standaard bij het pakket wordt geleverd. Het is deze service die ook in Windows Server 2003 – weliswaar met een reeks verbeteringen – aanwezig is. Het gebruik van Terminal Services is echter niet beperkt tot de server-edities van Windows. Ook in Windows XP is een afgeslankte Terminal Services component aanwezig die gebruikt wordt door de “Remote Desktop” feature: Figuur 1 – Remote Desktop gebruikt Terminal Services U vindt deze service terug via de Services MMC (Start, Run, services.msc, OK) onder de naam “Terminal Services”: 1 Figuur 2 – De Terminal Services service onder Windows XP Om verbinding te maken met een computer op afstand wordt gebruik gemaakt van de Remote Desktop Connection die standaard op Windows XP en hoger geïnstalleerd staat. We komen hier in meer detail op terug bij de bespreking van de configuratie van clients. Alvast een sfeerbeeld van deze tool die u terugvindt onder Start, All Programs, Accessories, Communications of kan starten via mstsc.exe: Figuur 3 – Remote Desktop Connection Noot: Windows XP machines ondersteunen slechts één gelijktijdige sessie. Dit houdt in dat een connectie met een Windows XP machine via Remote Desktop de sessie van op de “console” (de fysieke machine) overneemt of afmeldt, afhankelijk van het gebruikersaccount dat men opgeeft. Het is dus niet mogelijk om met Windows XP meerdere gebruikers tegelijkertijd op een machine interactief te laten werken via Remote Desktop. De enige sessie die aanwezig is, is de console sessie. We zullen verder zien dat – vanzelfsprekend – Windows Server 2003 en Windows 2000 Server deze beperking niet kent. De feature “Remote Assistance” waarmee gebruikers via programma’s zoals MSN Messenger hulp kunnen inroepen van een expert die het scherm van de pc overneemt, gebruikt overigens ook de Terminal Services technologie. In deze syllabus zullen we ons echter focussen op het gebruik van Terminal Services onder Windows Server 2003. Via deze component wordt het mogelijk om oude pc’s in te zetten als “terminals”. Concreet komt het erop neer dat de server het werk van de client overneemt bij het uitvoeren van programma’s zoals een browser, Office-tools en andere pakketten. 2 Alle invoer van de gebruiker via de muis en het toetsenbord wordt naar de server gezonden, die dan de eigenlijke verwerking doet. De schermuitvoer wordt over het netwerk teruggezonden naar de “terminal” client die alles weergeeft op het scherm. Dit heeft een heleboel voordelen, waaronder een verminderde kostprijs dankzij het hergebruik van oudere apparatuur en de aanschaf van één krachtige server. Over de systeemvereisten van deze servermachine zullen we het later nog hebben. Voor de gebruiker lijkt het dus alsof de applicaties lokaal worden uitgevoerd, terwijl de eigenlijke verwerking plaatsgrijpt op een server. Factoren die het comfort van de gebruiker beïnvloeden zijn dus ondermeer het verwerkingsvermogen van de server (en de netwerkconnectie, waarover later meer). 2. Van start... Terminal Services installeren In wat volgt gaan we ervan uit dat u reeds over een Windows-gebaseerd netwerk beschikt waarin een Active Directory domein geconfigureerd is. U hebt dus reeds één of meerdere domeinservers, mogelijk aangevuld met fileservers, mailservers, webservers, enz. Verder wordt ook verondersteld dat de clients in het netwerk connectiviteit met de servers hebben via het netwerk. Het installeren van de Terminal Server rol gebeurt best op een “dedicated server” die niks anders hoeft te doen dan het aanbieden van Terminal Services voor de clients. Een dergelijke configuratie is overigens ook veiliger en betrouwbaarder. Installatie van de Terminal Server rol op een domeincontroller of een fileserver is dan ook niet zo’n goed idee. Verder moet de server geconfigureerd zijn als een member server in het Active Directory domein via System Properties, tabblad Computer Name. Figuur 4 – De computer lid maken van het domein Daarna promoot u de server tot Terminal Server via het menu Start, Manage Your Server. Een alternatieve weg is Add/Remove Windows Components via het Control Panel. In wat volgt, gaan we echter uit van de Manage Your Server tool. 3 Figuur 5 – Manage Your Server Vervolgens kiest u “Add or remove a role” waardoor een wizard gestart wordt. Figuur 6 – Add or remove a role De rest van de wizard is vrij eenvoudig. Na een paar klikken op Next krijgt u de mogelijkheid aangeboden om een Terminal Server rol te installeren. Daarna wordt de installatie gestart, waarvoor u de installatiebestanden van op de Windows Server 2003 cd-rom nodig hebt, en de server opnieuw opgestart. 4 Figuur 7 – De Terminal Server rol toevoegen Na installatie vindt u onder Start, (All Programs,) Administrative Tools een aantal snelkoppelingen terug naar diverse tools gerelateerd met de Terminal Services rol van de server. Figuur 8 – Terminal Services tools onder Administrative Tools 3. Terminal Services configureren 3.1. Globale serverinstellingen Laten we om te beginnen een kijkje nemen onder Terminal Services Configuration via Administrative Tools. De MMC die nu wordt weergegeven geeft toegang tot algemene instellingen van Terminal Services, die niet gebruikersgerelateerd zijn. Hieronder verstaan we onder andere de configuratie van RDP, het Remote Desktop Protocol. 5 Figuur 9 – RDP configuratie Het RDP-protocol is verantwoordelijk voor de communicatie tussen een Remote Desktop client en de Terminal Server. De huidige versie van RDP is versie 5.2 (wat overigens ook het NT-versienummer van Windows Server 2003 is) en is stukken uitgebreider dan de versie in Windows 2000. Open RDP-Tcp aan de rechterkant van de MMC console onder de “map” Connections. Noot: Meerdere “connecties” kunnen hier toegevoegd worden, maar dit heeft in vele gevallen weinig nut. Daarom zullen we dit ook niet verder bespreken. Praktisch worden dergelijke connecties gebruikt om een Remote Desktop protocol te mappen op een transportprotocol (zoals TCP). Dit is vooral van belang voor alternatieve plug-ins van 3e partijen. 3.1.1. Algemene instellingen Via het tabblad General kunnen algemene instellingen van het RDP-protocol worden ingesteld. Hieronder vallen bijvoorbeeld beveiligingsinstellingen. Figuur 10 – Algemene instellingen 6 Concreet komt het erop neer dat alle communicatie tussen de client en de server beveiligd wordt zodat ze niet onderschept kan worden. Hiervoor kan het RDP protocol zelf gebruikt worden, wat voorziet in een dergelijke beveiliging, maar ook TLS “Negotiate” (wat ook door HTTPS gebruikt wordt). De standaardinstelling “RDP Security Layer” is echter geschikt. Een tweede instelling is het encryptieniveau, wat de sterkte van de encryptie bepaalt. “Client Compatible” is andermaal de juiste keuze. Hierdoor wordt de maximaal mogelijke beveiliging, die door de client ondersteund wordt, gebruikt. Terminal Services ondersteunt ook hogere niveaus van beveiliging maar dit vergt extra processing overhead op zowel de server als de client en enkel recente client-versies (zie verder) kunnen ermee overweg. Praktisch hebt u deze instelling wellicht niet nodig. Tot slot kan een certificaat opgegeven worden voor encryptie, wat vereist is bij de keuze van TLS-encryptie. Ook dit valt buiten het bestek van deze inleiding maar het is handig van het bestaan van deze mogelijkheden af te weten. Het vinkje “Use standard Windows logon interface” heeft verder geen belang en is enkel van toepassing als alternatieve inlogsystemen op de server zijn geconfigureerd, wat een complexe aangelegenheid is. Opmerking: Sommige van deze instellingen werden toegevoegd als deel van de “Security Push” bij Microsoft bij de ontwikkeling van Windows Server 2003 Service Pack 1. 3.1.2. Instellingen voor aanmelding Het volgende tabblad behandelt de instellingen voor aanmelding bij de server. Hier zijn twee mogelijkheden beschikbaar. De eerste (standaard)keuze is degene die we verder zullen gebruiken en vraagt aan de gebruiker om in te loggen met een (persoonlijk) account. Op die manier krijgt elke gebruiker zijn eigen instellingen en documenten te zien (uiteraard afhankelijk van domeininstellingen e.d.). De gebruiker meldt zich dus aan op dezelfde manier als hij/zij dat zou doen op een klassieke client-computer. Figuur 11 – Aanmeldingsinstellingen De instelling leidt tot de weergave van een aanmeldingsvenster bij het verbinden met de server. 7 Figuur 12 – De server vraagt de gebruiker om in te loggen Merk op dat het “Log on to” vakje de naam van het domein bevat, maar ook de naam van de server zelf. Dit is het gevolg van de configuratie van de server als “member server” in het domein. Gebruikers dienen dus de domeinnaam te kiezen in “Log on to” (net zoals ze dat ook zouden doen op een lokale pc) om aan te melden bij het domein. Noot: Als u de Terminal Server ook gebruikt als domeincontroller (wat u uit veiligheidoverwegingen beter niet doet) zal de lijst enkel de domeinnaam bevatten. Een alternatieve aanmeldingsinstelling is “Always use the following logon information” waarmee u een vast account instelt om aan te melden bij de Terminal Server. De gebruiker wordt dan niet gevraagd om een account op te geven. Deze instelling is vooral handig indien gebruikers de Terminal Server kunnen/mogen gebruiken zonder toegang tot eigen documenten en dergelijke. Een standaardprofiel (eventueel een “mandatory profile” – meer informatie daarover tijdens de sessie) kan dan geconfigureerd worden voor alle gebruikers, wat gebruikt kan worden om bijvoorbeeld educatieve software uit te voeren, te surfen op het internet of mail te checken. Ook in combinatie met de instellingen van het tabblad “Environment” (zie verder) kan dit handig zijn. Het vinkje “Always prompt for password” is een “override” voor client-side instellingen, die we verder nog zullen bespreken. Indien dit vinkje aanstaat, heeft het onthouden van een wachtwoord op de client geen enkel effect en zal de server steeds om een wachtwoord vragen. 3.1.3. Sessiebeheer Het tabblad Sessions wordt gebruikt om – hoe kan het ook anders – sessies te beheren. Onder sessie verstaan we een aanmelding bij de server door een gebruiker en het leven ervan tot de gebruiker de verbinding verbreekt 8 of zich afmeldt. Sessiebeheer is dan ook noodzakelijk om foutief gebruik van de server te voorkomen en om (beleidsgebaseerde) beperkingen op te leggen. Figuur 13 – Sessiebeheer configureren Sessiebeheer is verspreid over twee plaatsen: algemene instellingen en gebruikersspecifieke instellingen. De gebruikersspecifieke instellingen bekijken we later. Het is van belang in het achterhoofd te houden dat algemene instellingen steeds voorrang hebben op gebruikersinstellingen (zie de vinkjes “Override user settings”). De rationale achter dit alles is dat een gebruikersaccount maar op één plaats in het domein gedefinieerd is (met name in Active Directory) maar u meerdere Terminal Servers kunt hebben. Via serverspecifieke sessie-instellingen op een Terminal Server kunt u dus een meer specifieke instelling opgeven. Een eerste set van instellingen hebben te maken met tijdsbeperkingen van sessies. Een eerste instelling luidt “End a disconnected session”. Om dit te begrijpen dienen we eerst het onderscheid tussen afmelden en disconnecteren te definiëren. Veronderstel dat u aangemeld bent bij een Terminal Server via een Remote Desktop Connection. Nu kunt u op verschillende manieren de sessie “afsluiten”: Ga via Start naar Log off. Hiermee sluit u de sessie echt af. Druk op het kruisje van het Remote Desktop venster om het venster te sluiten. Hierdoor wordt de sessie verbroken. 9 De client vraagt overigens ook of u de sessie wenst te verbreken als u het venster sluit: Ga naar Start, Shut Down. Als gewone gebruiker (dus géén administrator) krijgt u volgende opties te zien, waarmee u ofwel kunt afmelden (sessie afsluiten) of de sessie kunt verbreken: Wat is het verschil tussen het sluiten van een sessie door afmelding en het verbreken van een sessie nu exact? Het antwoord ligt enigzins voor de hand. Bij het sluiten van een sessie neemt u echt afscheid van uw werkomgeving op de server. De volgende keer dat de gebruiker zich aanmeldt, wordt het gebruikersprofiel terug ingeladen en komt de gebruiker op een “naakte sessie” terecht waarin geen programma’s openstaan. Bij het verbreken van een sessie blijven de programma’s op de server geladen. Meld u zich terug aan op de Terminal Server (hetzij vanop dezelfde, hetzij vanop een andere clientcomputer) dan krijgt u de omgeving terug in dezelfde status als u deze hebt achtergelaten. Dit is bijvoorbeeld interessant tijdens de lunchpauze of om naar een andere (terminal) client-computer over te schakelen zonder alles opnieuw te moeten starten. Terug naar de instelling “End a disconnected session” uit het RDP sessiebeheer. Hiermee kunt u instellen na welke tijd een verbroken sessie (die niet terug werd verbonden uiteraard) door de server wordt afgemeld. Werk dat niet opgeslagen is door de gebruiker gaat dan verloren. Een dergelijke limiet is van belang als gebruikers slordig omspringen met connecties en u zich niet kunt permitteren dat een gebruiker een “zware sessie” een lange tijd laat openstaan en op die manier veel geheugen of veel processorkracht inpalmt. Via “Active session limit” limiteert u de maximale duratie van een sessie. De instelling “Idle session limit” is analoog en bepaalt hoelang een sessie “idle” (= zonder enige interactie door de gebruiker) kan blijven zonder automatische actie van de server. Beide instellingen omtrent “session limit” bepalen wanneer de server ingrijpt. Wat er precies gebeurt, wordt ingesteld via de configuratie er vlak onder, met name “When session limit is reached or connection is broken” waarin u kunt kiezen of de sessie verbroken dient te worden of meteen beëindigd wordt. Tip: In alle tijdsvelden hierboven beschreven kunt u kiezen uit een vooropgegeven lijst van instellingen. Wilt u meer controle dan kunt u ook zelf een tijdslimiet opgeven via een reeks suffixes. Zo staat d voor dagen, h voor uren en m voor minuten. Via 1d1h1m geeft u dus “1 day 1 hour 1 minute” op. 3.1.4. De sessie-omgeving instellen Via het tabblad Environment kunt u de gebruikersomgeving op de server in een terminal sessie instellen. Via deze weg kunt u een “Initial program” configureren dat bij aanmelding van een gebruiker standaard wordt opgestart. Indien een dergelijk programma ingesteld is, wordt geen bureaublad weergegeven bij aanmelding op de server maar het opgegeven programma. Ook deze instelling kan globaal gedefinieerd worden of op gebruikersniveau. 10 Figuur 14 – De gebruikersomgeving instellen Een dergelijke configuratie wordt vooral ingezet voor gebruikersgroepen die een specifieke taak moeten uitvoeren als deel van hun werk (bijvoorbeeld een administratief pakket) of in een omgeving waar gebruikers slechts één programma mogen gebruiken (bijvoorbeeld terminal clients voor gebruik van enkel een tekstverwerker of een educatief programma). Wordt het desbetreffende programma gesloten, dan wordt de sessie ook meteen afgesloten (er is immers geen startmenu om af te melden). Een voorbeeldje is hieronder weergegeven, waar Paint als “Initial program” werd ingesteld (merk op dat er geen taakbalk aanwezig is): Figuur 15 – Een “Initial program” in actie 11 3.1.5. Hulp op afstand Het tabblad “Remote Control” is in feite het grote-broer-equivalent van “Hulp op afstand” uit Windows XP en wordt gebruikt om in te stellen dat een gebruiker de sessie van een andere gebruiker kan overnemen om hulp te bieden. Hoe dit precies praktisch in zijn werk gaat bespreken we later. Figuur 16 – Hulp of afstand voor experten Ook hier zijn algemene instellingen en gebruikersinstellingen mogelijk. De instellingen wijzen quasi zichzelf uit en worden gebruikt om remote control uit te schakelen of bepaalde specifieke opties in te stellen (zoals het vereisen van permissie van een gebruiker om zijn/haar sessie te zien of ermee te interageren). Ook dit bekijken we straks nader vanuit het perspectief van gebruikersconfiguratie en het praktische gebruik. 3.1.6. Clientinstellingen Zoals u naderhand al weet, is een client-side tool (met name Remote Desktop Client) noodzakelijk om verbinding te maken met een server via Terminal Services over RDP. Ook hier zijn een aantal instellingen van toepassing, die voorrang hebben op wat precies in de client tool werd ingesteld. U vindt deze terug onder het tabblad “Client Settings”. Een overzicht maakt veel duidelijk (we beginnen onderaan het dialoogvenster). Via “Disable the following” schakelt u een aantal opties uit, bijvoorbeeld om bronnen op de server of netwerktraffiek te besparen (of om veiligheidsredenen). Deze opties zijn vrij uitgebreid en komen nog terug bij het praktische gebruik van Terminal Services: Drive mapping mapt de schijven van de client-computer zodat deze in de Verkenner op de server zichtbaar zijn (zie ook later). Windows printer mapping doet net hetzelfde met de printers van de clientcomputer. Hierdoor kan een gebruiker vanuit de terminal sessie op de server afdrukken naar een lokale printer. LPT port en COM port mapping spreken voor zich en mappen de lokale poorten van de computer op deze op de terminal server. Dit kan nuttig zijn voor speciale apparaten die werken via de seriële poort. 12 Clipboard mapping mapt het klembord (daar waar Cut/Copy zaken worden opgeslagen) op dat van de client. Als u met andere woorden zaken kopieert op de server met CTRL-C, kunt u deze via CTRL-V plakken in een applicatie op de client (en vice versa). Audio mapping stuurt het geluid dat applicaties op de server produceren terug naar de client zodat het door de lokale boxen te horen is (mits die client een geluidskaart heeft). Dit staat standaard uit aangezien dit aanzienlijk meer netwerktraffiek met zich meebrengt, waarover later meer. Noot: Eerst en vooral merken we op dat er staat “Disable the following”. Een vinkje aanzetten schakelt dus de overeenkomstige functionaliteit uit. Ten tweede zijn al deze “client settings” sessie- en gebuikersgebonden. Het is niet omdat gebruiker A zijn printers mapt via “Windows printer mapping” dat gebruiker B die printers te zien krijgt. Sessies zijn totaal van elkaar afgescheiden zoals het ook hoort. U creëert dus bij het opzetten van een verbinding een eigen plek onder de Terminal Services zon . Tot slot moet u zich goed en wel realiseren dat deze server-side instellingen bindend zijn. Zegt de server bijvoorbeeld dat audio mapping uit staat, dan is het voor de client onmogelijk (ook al schakelt die onder de RDP-client audio mapping in!) geluid te ontvangen van de server. Figuur 17 – Clientinstellingen voor RDP Andere instellingen die via dit tabblad worden beheerd zijn ondermeer de maximale kleurendiepte (wat ook implicaties heeft op de netwerktraffiek, hoe hoger des te meer traffiek). Ook dit legt een beperking op wat de client maximaal door de draad kan pompen. Hogere instellingen aan de kant van de client zullen door de server verworpen worden. Tot slot zijn er een aantal connectie-instellingen m.b.t. het verbinden van printers en lokale drives bij aanmelding. Dit is nog zo’n instelling die gebruikersgebonden of globaal kan ingesteld worden en de standaardinstelling is vaak de juiste. Enkel in vrij geavanceerde gevallen is extra configuratie interessant. 3.1.7. Netwerkadapters Indien uw server meerdere netwerkkaarten heeft, zal het tabblad Network Adapter misschien interessante opties herbergen. Hiermee kunt u namelijk het aantal gelijktijdige connecties instellen en aangeven welke adapter geconfigureerd wordt om te luisteren voor RDP-verkeer. Standaard luistert de server op alle adapters voor RDP-aanvragen en is het aantal connecties onbeperkt. 13 Noot: Als de server niet geconfigueerd werd met de Terminal Server rol maakt deze instelling niks uit voor “remote administration”. Windows Server 2003 ondersteunt in “remote administration” modus 2 gelijktijdige connecties (in feite 3, met de console inbegrepen). Met andere woorden kunt u steeds met 2 beheerders tegelijkertijd een server beheren ongeacht of deze als Terminal Server geconfigureerd staat. In Windows 2000 Server was dit anders en moest de Terminal Server rol ook voor “remote administration” geïnstalleerd worden maar sinds Windows Server 2003 zit deze optie standaard ingebakken in het systeem (via System Properties, tabblad Remote). Figuur 18 – Netwerk adapters binden Dit tabblad is krachtiger dan u op het eerste zicht misschien denkt. Eerder vermeldde ik terloops dat u meerdere “connecties” kunt instellen onder de RDP-configuratietool (zie figuur 9). Zo kunt u voor elke netwerkkaart een afzonderlijke “RDP over TCP”-connectie aanmaken indien de server meerdere netwerkkaarten heeft. Op die manier kunt u bijvoorbeeld instellen dat het aantal verbindingen over een trage netwerkkaart beperkt is tot 10 terwijl over een andere netwerkkaart dat aantal onbeperkt is. Verder kunt u ook alle eerder vermelde instellingen via een “connectie” binden aan één enkele netwerkkaart. Zo zou u voor verkeer via de trage netwerkkaart audo mapping kunnen uitschakelen maar dit dan wel weer toelaten via de andere kaart. Of wat dacht u van het gebruik van een “Initial program” (zie 3.1.4) voor gebruikers die via de netwerkkaart verbonden met de switch van het administratief personeel met de server connecteren? 3.1.8. Permissies Tot slot is er het tabblad “Permissions” waarmee u gebruikersrechten instelt. Hiermee kunt u op het niveau van groepen of gebruikers voor de server instellen wie wat mag doen. De standaardinstellingen zijn: Full Control – gebruiker kan de RDP-configuratie wijzigen en sessies beheren, zoals een sessie verbreken (enkel voor beheerders geschikt); User Access – gebruiker kan aanmelden op de server, informatie over sessies opvragen, berichten zenden naar andere gebruikers op het systeem en met andere sessies verbinden; Guest Access – gebruiker kan enkel aanloggen op het systeem 14 Figuur 19 – Permissies instellen Een belangrijke groep hierbij is de groep Remote Desktop Users die User Access heeft op het systeem. De beste manier om gebruikers het recht te geven aan te melden op Terminal Servers is de gebruiker lid te maken van deze (domein)groep. Indien de gebruiker geen recht heeft op bepaalde server kunt u nog steeds een Deny instellen op die servers om toegangsrechten tot die specifieke machines expliciet te ontzeggen (bijvoorbeeld Studenten – Deny Guest Access op een Terminal Server voor het personeel). Diverse configuratiepistes zijn uiteraard mogelijk (zoals altijd). Via de knop Advanced kunt u meer granulaire rechten toekennen, maar de zou ons te ver leiden. 3.2. Beveiliging Nu, wie kan wat? Een antwoord op deze vraag hebben we reeds hierboven partieel geformuleerd. Maar er is meer. Aanmelden op een Terminal Server is een privilege (“user right assignment”) dat iemand moet krijgen om het te kunnen doen. Afhankelijk van de omgeving en de instellingen kan extra configuratie nodig zijn van deze rechten, via de policies. Een overzicht: Lokale policies op de Terminal Server worden gebruikt om toegangsrechten op het systeem expliciet in te stellen. Dit overkoepelt de instellingen per “connectie” zoals in vorige paragraaf werd behandeld. Indien de policies niemand toelaten zich aan te melden op het systeem, zullen alle connectiegeöriënteerde instellingen ook geen effect hebben. Domeincontroller policies zijn enkel van belang indien u een domeincontroller als Terminal Server gebruikt, wat dus niet aan te raden is. In een dergelijk geval vervangen ze de lokale policies. Domein policies hebben betrekking op alle Terminal Server computers in het domein. Via deze centrale policy stelt u dan ook in wat het algemene beleid is m.b.t. Terminal Services. Waar vindt u deze zaken nu terug? In het algemeen is het aan te raden een algemene domein-gebaseerde policy te definiëren. Daarvoor meldt u zich aan bij een domeincontroller en gaat u naar Administrative Tools, Domain Security Policy. De MMC snap-in voor beleidsconfiguratie verschijnt dan. Ga hierin nu naar Security Settings, Local Policies, User Rights Assignment: 15 Figuur 20 – Domeinpolicies instellen voor Terminal Services Via deze weg kunt u instellen dat Remote Desktop Users op alle Terminal Servers in het domein het recht hebben om aan te melden door “Allow log on through Terminal Services” aan te passen: Figuur 21 – Rechten toekennen 16 Alternatief kunt u deze instelling ook doorvoeren in de Local Security Policy op elke individuele Terminal Server, waardoor u meer machine-per-machine controle krijgt. Het instellen van de policy verloopt volkomen gelijkaardig. Noot: Er zijn diverse mogelijkheden om aanmelden rechten toe te kennen of te weigeren, via diverse niveaus van policies en rechten. Het is ten stelligste aan te raden deze configuratie goed bij te houden en te documenteren vermits de diverse niveaus tot verwarring kunnen leiden. Hou de “voorrangsregels” in het oog: eerst komt domain policy, daarna kan de local policy zijn zeg doen en tenslotte de connectieinstellingen op de server in kwestie. Van zodra één entiteit het recht weigert, houdt het op. Een policy die als “Not Defined” staat heeft géén invloed op de beslissing of de aanvraag al dan niet doorgelaten wordt. Verder zullen we overigens zien dat ook op individueel gebruikersniveau het recht op Terminal Services onzegd kan worden. 3.3. Serverinstellingen Tot slot nog even terug naar de Terminal Services Configuration MMC snap-in onder de node Server Settings. Hier vindt u instellingen terug die voor de ganse server (ongeacht de “connectie”) van toepassing zijn. Voorbeelden zijn het beheer van tijdelijke mappen, het al dan niet toelaten van Active Desktop en extra beveiligingsopties (die u beter laat zoals ze standaard staan). Via deze weg kunt u ook instellen dat een gebruiker beperkt is tot één gelijktijdige sessie (wat niet geldt voor leden van Administrators) en configureert u verder licentiëring (waarover later meer). Figuur 22 – Algemene serverinstellingen 4. Gebruikersconfiguratie Tijd om over te gaan op gebruikersconfiguratie. Zoals eerder gezegd, gaan we uit van een domeininfrastructuur met Active Directory. Het is dan ook logisch dat gebruikersinstellingen via Active Directory zullen geschieden. Ga naar Active Directory Users and Computers en open de eigenschappen van een gebruiker. Volgende tabbladen zijn relevant voor Terminal Services configuratie: Environment – Hiermee stelt u een “Initial program” (dat hier om duistere redenen “Starting program” wordt genoemd) in alsook de permissie tot het connecteren van lokale drives en printers met de server via mapping (zie ook eerder). Sessions – Het equivalent van Sessions in de serverconfiguratie wordt gebruikt om op gebruikersbasis specifieke limieten in te stellen en disconnectietijden op te geven. Als extra kunt u hier ook “reconnection” instellen waarmee u controleert van op welke pc’s het toegestaan is terug te verbidnen met een verbroken sessie. 17 Figuur 23 – “Allow reconnection” Remote Control – Instellingen met betrekking tot de mogelijkheid om “hulp op afstand” te bieden aan gebruikers die ingelogd zijn op het systeem. Zo kan u ondermeer instellen of het toegestaan is om met de sessie van de gebruiker in kwestie te verbinden en of toestemming van de gebruiker vereist is hiervoor (“Big Brother” scenario’s zijn dus mogelijk maar dienen expliciet ingesteld te worden). Figuur 24 – Remote control instellen 18 Terminal Services Profile – Configureert het pad naar het profiel van de gebruiker. Dit principe erft over van “roaming profiles” of “zwervende profielen” wat in het algemeen voor grote netwerken niet interessant is door de hoge netwerktraffiek die dit met zich meebrengt (zie tabblad Profile). Voor Terminal Services is de situatie echter rooskleuriger, vermits de profielen van de gebruiker enkel de pad van “profielenserver” (een fileserver dus) naar de Terminal Server moeten afleggen. Ook de “thuismap” kan via deze weg ingesteld worden (typisch Mijn Documenten van de gebruiker). Deze instellingen zijn in het bijzonder handig wanneer meerdere Terminal Servers aanwezig zijn en gebruikers verwachten dat hun instellingen op beide machines identiek dezelfde zijn (m.a.w. dat gebruikers nooit merken op welke Terminal Server ze eigenlijk aan het werken zijn). Verder kunt u via deze weg ook het recht om aan te melden bij om het even welke Terminal Server (in het domein) aan de gebruiker ontzeggen via het vinkje “Deny this user permissions to log on to any Terminal Server”. Figuur 25 – Gebruikersprofielen voor Terminal Services Zo ziet u maar dat Terminal Services zowat overal in het systeem hun wortels vinden, gaande van het vinkje “Remote Desktop” onder de systeemeigenschappen, over specifieke MMC snap-ins voor configuratie tot in Active Directory en de policies. Sommige van deze instellingen zijn overigens ook onder Group Policies te vinden en op die manier nog granulairder in te stellen (voor de liefhebbers ) op het niveau van Organizational Units in Active Directory (zie figuur 26). Noot: In sommige gevallen zult u vrij geavanceerde zaken willen doen via Group Policies om de rechten van gebruikers in te perken afhankelijk van waar de gebruiker zich bevindt. Logt een gebruiker zich aan op een pc in één of andere pc-klas dan gelden mogelijk andere beleidsregels dan wanneer de gebruiker zich aanmeldt op een bepaalde Terminal Server. Om dit te controleren kan men diverse features van Group Policies aanwenden zoals “loopback processing” en “WMI filters”. Dit zou ons echter te ver leiden maar indien u hierover specifieke vragen heeft, mag u me steeds contacteren. Hiermee besluiten we het uitgebreide hoofdstuk van beveiliging en gaan we over naar een ander cruciale activiteit, het configureren van clients. 19 Figuur 26 – Terminal Services configureren via Group Policies 5. Clients configureren Servers vragen om clients (of is het omgekeerd?), zoveel is duidelijk. Maar hoe zit dit met Terminal Services? Hier betreden we het domein van “thin clients”. 5.1. Thin Clients Thin clients zijn computers die geconfigureerd zijn om zoveel mogelijk van hun programmaverwerking over te laten aan een achterliggend systeem, zoals een Terminal Server. In feite is Terminal Services een vrij extreem type van thin client vermits alle invoer van toetsenbord en muis zondermeer naar de server wordt doorgestuurd die dan antwoord met afbeeldingen van wat er op de server in feite gebeurt, waardoor de gebruiker de (verdomd goede) illusie krijgt dat alles lokaal gebeurt. Hierdoor heeft de lokale pc slechts zéér weinig resources nodig, waaronder diskruimte (alle programma’s staan op de server), processor (het enige programma dat in wezen moet draaien is een RDP-client), geheugen (idem opmerking), etc. Terminal Services kan uiteraard geen wonderen doen: een 16-bit kleurenscherm zal niet plots 32-bits kleuren produceren en uit een thin client zonder geluidskaart zal geen streepje muziek tevoorschijn komen (tenzij het oude beestje een deuntje uit de Sound of Music kreunt bij elke schijfactiviteit ). Noot: Andere vormen van thin clients zijn in feite browserapplicaties (het leeuwendeel van het werk gebeurt op de webserver) en applicaties die veel werk overlaten aan een achterliggende server, bijvoorbeeld via web services. U behoort tot de gelukkige groep van “super thin client” gebruikers met Terminal Services. 20 5.2. Beschikbare clients 5.2.1. Desktop RDP-clients Om met Terminal Services te verbinden is er een RDP-client nodig. Microsoft levert dergelijke RDP-clients voor Windows 95, Windows 98, Windows Millennium, Windows NT 4, Windows 2000, Windows XP en Windows Server 2003. Onder Windows XP en Windows Server 2003 staat deze applicatie standaard geïnstalleerd onder de Accessoires. U kan deze tool ook opstarten via mstsc.exe. Noot: Windows XP-gebruikers hebben een versie van mstsc.exe die RDP 5.1 ondersteunt, tenzij een update is gebeurd. Het is aan te raden op elke pc de nieuwste versie van de Remote Desktop Client te installeren op de manier die hieronder wordt uiteengezet. Screenshots van deze tool zag u al eerder in figuur 3 en figuur 12. Na het verbinden komt u terecht op een bureaublad aangeboden door de server waar u ook toegang hebt tot alle programma’s die op de server geïnstalleerd staan. Het spreekt voor zich dat dit een enorm voordeel betekent op gebied van softwareinstallatie die enkel maar op de server dient te gebeuren. Naast de Microsoft-implementatie van de RDP-client bestaan ook alternatieven van 3e partijen maar vaak zijn deze minder handig in gebruik, minder compleet of gebruiken ze een oudere versie van het RDP-protocol. 5.2.2. De TSWEB webclient Behalve de desktop-versie van de RDP-client is er ook een ActiveX-versie die kan draaien in Internet Explorer. Om deze software te kunnen gebruiken, dient de Remote Desktop Web Connection component toe te voegen op een IIS server. Indien u nog geen IIS webserver hebt draaien, kunt u er uiteraard altijd eentje opzetten. Is de rol van deze webserver puur het draaien van de TSWEB webclient, dan kunt u deze rol gerust op de Terminal Server zelf installeren. Wenst u de webserver echter ook voor andere doeleinden te gebruiken (zoals vakwebsites, SharePoint, FTP-websites, FrontPage-websites, e.d.) dan gebruikt u best een afzonderlijke webserver, uit veiligheids- en performantieoverwegingen. Installatie van een IIS webserver gebeurt eveneens via de Manage Your Server wizard. Het installeren van de Remote Desktop Web Connection component gebeurt via Add/Remove Windows Components onder het Config Panel, Add or Remove Programs. Via Application Server, Internet Information Services (IIS), World Wide Web Service vindt u de Remote Desktop Web Connection. Figuur 27 – De Remote Desktop Web Connection component 21 Eens deze taak voltooid is, en de webserver gestart is (eventueel via iisreset te herstarten) kunt u de Remote Desktop Connection Web Client via http://(server)/tsweb openen. Eerst dient u evenwel de ActiveX control te installeren. Op een Windows XP SP2 of Windows Server 2003 SP1 machine ziet dit er als volgt uit: Figuur 28 – De Remote Desktop ActiveX Control installeren Noot: Indien u deze site niet binnenshuis wil hosten of u graag overal ter wereld toegang hebt tot deze tool en niet in staat bent de interne site te publiceren (bijvoorbeeld omwille van restricties opgelegd door de internet service provider), kan u de TSWEB-client ook kopiëren naar een webserver online. Zo draai ik bijvoorbeeld deze tool via http://www.bartdesmet.net/tsweb voor het geval ik ergens RDP toegang nodig heb waar geen RDP-client geïnstalleerd staat. De bestanden van TSWEB vindt u – na installatie zoals hierboven beschreven – terug onder %windir%\web\tsweb op de server. Eens dit voltooid is, kan de client gebruikt worden: Figuur 29 – De Remote Desktop Web Connection tool in Internet Explorer 22 U kunt nu de servernaam (of het IP-adres) opgeven en de schermresolutie kiezen onder “Size” (standaard Fullscreen). Vervolgens klikt u op Connect om met de server te verbinden. Het resultaat bij de keuze van een 640x480 resolutie ziet er bijvoorbeeld als volgt uit op de gebruikte pc: Figuur 30 – Een Terminal Services verbinding via “tsweb” Deze client heeft echter redelijk wat beperkingen in vergelijking met de desktopversie van de Remote Desktop client die we in de vorige paragraaf aanhaalden en ook verder zullen gebruiken. Zo is het bijvoorbeeld niet mogelijk om lokale schrijven of printers te mappen op de server. Noot: Om toegang te krijgen tot de server moeten de nodige poorten openstaan, met name RDP poort 3389. We zullen hier later nog op terugkomen maar het is van groot belang te beseffen dat ook TSWEB-gebruikers via die poort verbinden en niet via HTTP zoals sommigen denken. De HTTP-website biedt enkel een pagina aan die een client-side ActiveX control gebruikt voor de eigenlijke verbinding. 5.2.3. Remote Desktops MMC client Gebruikers van Windows Server 2003 krijgen er een extra tool bij, met name de Remote Desktops MMC snapin onder Administrative Tools. De tools is vooral geschikt voor systeembeheerders die vele systemen wensen te beheren op afstand. Via één centrale MMC snap-in kan dan een werkomgeving met tientallen shortcuts naar belangrijke machines (Windows Server 2003 machines, Windows 2000 Server machines, Windows XP client machines geconfigureerd voor Remote Desktop) worden ingesteld. 23 Figuur 31 – De Remote Desktops MMC client via Administrative Tools Figuur 32 – Een sessie onder de Remote Desktops MMC 24 5.3. Clients installeren Nu we kennis gemaakt hebben met het principe van de Thin Client en de nood aan een RDP-client om met de server te verbinden, is het tijd om de RDP-client te verspreiden op de clientcomputers. We gaan in wat volgt dus uit van de desktopversie van de Remote Desktop Connection tool. 5.3.1. De RDP-client installer Een geschikte versie van de RDP-client wordt geleverd bij Windows Server 2003 en werd o.a. in het laatste Service Pack (SP1) vernieuwd. De installatiebestanden zijn te vinden onder %windir%\system32\clients\tsclient op de server. Figuur 33 – Installatiebestanden van de RDP-client Via msrdpcli.msi of setup.exe installeert u de client. U kan bijvoorbeeld de bestanden kopiëren op een diskette (inclusief setup.ini) en de installatie uitvoeren op een Windows 98 machine. Figuur 34 – De RDP-client installeren onder Windows 98 25 Indien het netwerk juist geconfigureerd is en u toegang heeft tot een fileserver kunt u uiteraard ook via die weg de client op de Windows 98 machine installeren. Zo kunt u de clients-map op de Windows Server 2003 machine delen en openstellen voor iedereen met alleen-lezen rechten. Hoe dan ook, installatie onder Windows 98 zal een manuele interventie vragen op de clientcomputer. Eens geïnstalleerd vindt u de Remote Desktop Connection terug onder Start, Programs. Het gebruik van de tool wordt verder in detail besproken. 5.3.2. De client verspreiden via IntelliMirror In vorige paragraaf hebben we gezien hoe manuele installatie van de RDP-client op een machine kan gebeuren. Op systemen met Windows 2000 Professional of Windows XP Professional die lid zijn van het Active Directory domein kan men echter deze installatie automatiseren via IntelliMirror. Noot: Onder Windows XP zit reeds een Remote Desktop Client ingebakken. Om echter de laatste features te hebben (meer bepaald de securityverbeteringen uit Windows Server 2003 SP1) is het aanbevolen de versie van op de server ook op deze machines te installeren. Noot: Iets hoger werd Windows XP Professional vermeld en niet Windows XP in het algemeen. De reden daarvoor is dat Windows XP Home machines geen lid kunnen zijn van een Active Directory domein. Op dergelijke machines zult u ofwel de ingebakken client moeten gebruiken ofwel de RDP-client van de server moeten installeren (aanbevolen), bijvoorbeeld via een floppy of via het netwerk. Om te beginnen dient u hiertoe ervoor te zorgen dat de computers waarop u de client wenst te installeren zich onder een Organizational Unit (NL: Afdeling) bevinden in Active Directory. Kort gezegt vormt een OU een eenheid voor configuratie van gebruikers en/of computers, terwijl groepen een rol spelen in beveiliging. Op een OU kan men een Group Policy toepassen waarin bijvoorbeeld Windows-instellingen worden beperkt (zo kan men bijvoorbeeld voor een OU “Leerlingen” toegang tot het Control Panel ontzeggen). Indien u niet vertrouwt bent met Group Policies, is dit zeker de moeite waard om verder uit te pluizen. Terug naar Terminal Services nu. Valideer dat de te beheren computers zich onder een OU bevinden, zoals hieronder is weergegeven: Figuur 35 – Computers in een Organizational Unit Noot: Standaard komen nieuwe computerleden in een domein terecht in Computers (tenzij u bijvoorbeeld installeert via RIS). U dient dus manueel via Active Directory Users and Computers de computeraccounts te verplaatsen naar de juiste OU, die bijvoorbeeld de fysieke structuur van een gebouw reflecteert (bijvoorbeeld via het gebruik van lokaalnummers als namen voor OU’s). Nu gaan we de pc’s in deze OU beheren via Group Policies. Dit doet u door via de eigenschappen van de OU naar het tabblad Group Policy te gaan. Via de knop New maakt u vervolgens een nieuwe GPO (group policy object aan) dat automatisch gelinkt wordt met de huidige OU. Noot: Er is een onderscheid tussen GPO’s, dewelke niet veel meer voorstellen dan een aantal configuratieparameters en links. Een link maakt de brug tussen een GPO en een OU waarop de GPO werkzaam is. Zo kunt 26 u dus bijvoorbeeld (zoals in volgende screenshot weergegeven) één GPO maken voor een set van instellingen (bijvoorbeeld voor RDP-client deployment, wat wij zullen doen) en deze dan aan meerdere OU’s linken (zoals alle OU’s waarin computers van het educatieve netwerk zitten). Figuur 36 – Een GPO voor RDP-client deployment Vervolgens klikt u op Edit om de GPO verder te configureren. In de MMC die nu verschijnt, gaat u naar Computer Configuration (vermits we computers uit de gelinkte OU willen configureren), Software Settings, Software installation. Figuur 37 – Software installation onder de GPO configuratie Onder deze node staan alle softwarepakketten die via de GPO verspreid worden op de clients in het netwerk die zich in de OU bevinden. We zullen nu de RDP-client hieraan toevoegen. Om te beginnen dienen we ervoor te zorgen dat de installatiebestanden via het netwerk beschikbaar zijn. Ga daartoe dus naar de map %windir%\system32\clients en deel deze via het netwerk. Noot: De rechten in Windows Server 2003 voor bestands- en mapdeling staan standaard op Iedereen AlleenLezen, wat een veilige standaardinstelling is. 27 Figuur 38 – De clients-map delen Ga nu terug naar de Group Policy Object Editor en klik met de rechtermuisknop op Software installation. Kies vervolgens New, Package. Selecteer nu het msrdpcli.msi-bestand via het netwerkpad naar de gedeelde map op de server (bvb \\server\clients\tsclient\win32\msrdpcli.msi). Figuur 39 – Het installatiepakket voor de RDP-client selecteren Vervolgens dient u de deployment methode aan te geven. De standaardinstelling “Assigned” volstaat voor dit doeleinde. Uiteindelijk moet de “map” Software installation onder de Group Policy Object Editor er als volgt uitzien: 28 Figuur 40 – Het pakket is klaar voor deployment Wanneer u nu een client uit de beheerde OU opstart, wordt de RDP-client automatisch op de computer geïnstalleerd. Hou er wel rekening mee dat door replicatievertragingen eigen aan Active Directory het een paar minuten kan duren voor alle clients de configuratiewijziging ontvangen. Bij het opstarten van de computer zult u de installatie van de RDP-client zien voorbijflitsen. Figuur 41 – IntelliMirror aan de slag op de client Na het aanmelden vindt u nu de Remote Desktop client terug via het menu Start. Noot: Onder Windows XP wordt de standaardclient mstsc.exe uit de Windows\system32-map niet vervangen. De nieuwe client wordt geïnstalleerd onder de map Program Files, submap Remote Desktop en is via het Startmenu rechtstreeks beschikbaar. De snelkoppeling onder de Accessoires, Communication map wordt ook naar deze nieuwe locatie herleid. Doet u echter Start, Run, mstsc, OK dan komt u nog steeds op de oude versie uit (welke u overigens niet zomaar kunt weggooien vermits de Windows File Protection het bestand zou terugzetten na verwijdering). 5.3.3. Conclusie Voor computers die draaien op Windows XP Professional of Windows 2000 Professional kunt u de IntelliMirror feature van Active Directory inzetten om de software te installeren. Voor oudere systemen zoals Windows 98 of Windows NT 4.0 dient u een manuele installatie (via een floppy of over het netwerk bijvoorbeeld) uit te voeren. 29 6. Het gebruik van Terminal Services Nu we de installatiewateren van de RDP-client doorzwommen hebben is het tijd om eens in meer stil te staan bij het gebruik van de RDP-client en Terminal Server sessies in het algemeen. 6.1. Functionaliteit van de Remote Desktop Connection client Laten we beginnen bij de zopas geïnstalleerde RDP-client tool en eens nader bekijken wat deze tool zoal in zijn mars heeft. Open hiertoe de tool en klik op de knop Options. Een totaal van zes tabbladen verschijnt nu. 6.1.1. Algemene instellingen Onder het tabblad General staan de aanmeldingsinstellingen opgegeven. Hieronder verstaan we de Terminal Server computer (de naam of het IP-adres) en eventueel een gebruikersnaam, wachtwoord en domein voor automatische aanmelding. We zagen echter eerder dat de server het onthouden van een wachtwoord kan uitschakelen en telkens een wachtwoord kan vereisen (figuur 11). Verder is er ook een sectie “Connection settings” te vinden via dewelke .rdp-bestanden gemaakt kunnen worden die dan rechtstreeks gebruikt kunnen worden om verbinding met een server op te zetten. Hierover vertellen we straks meer. Figuur 42 – Algemene instellingen op de client 6.1.2. Weergave Het tweede tabblad heet Display en wordt gebruikt om de desktopgrootte van de verbinding in te stellen alsook de kleurdiepte. Merk op dat enkel 4:3 formaten ondersteund worden in RDP 5.2 en dat ook een “Full screen” verbinding mogelijk is door de slider uiterst rechts te positioneren. Opnieuw geldt de wet van de sterkste: wordt op de server ingesteld dat de maximale kleurendiepte 16 bits bedraagt dan zullen hogere instellingen op de client geen effect hebben. 30 Figuur 43 – Weergaveopties 6.1.3. Omleiding van bronnen Het derde tabblad, Local Resources, herbergt heel wat interessante features van Terminal Services die het leven van de gebruiker stukken gemakkelijker maken. Figuur 44 – Omleiding van bronnen configureren 31 6.1.3.1. Geluid Een eerste optie is “Remote computer sound” waarmee het geluid geproduceerd door de server in de gebruikerssessie over het netwerk naar de clientcomputer wordt teruggestuurd om daar afgespeeld te worden. Op die manier wordt de totale gebruikerservaring stukken attactiever, bijvoorbeeld bij het browsen naar interactieve websites, bij het afspelen van filmpjes of het raadplegen van een elektronisch naslagwerk waarin multimedia prominent aanwezig is. De keerzijde van de medaille is uiteraard de hogere netwerkbelasting vermits ook audiogegevens over het netwerk dienen verstuurd te worden. Om die reden kan de server zo ingesteld worden dat deze optie geen effect heeft (figuur 17). 6.1.3.2. Toetsencombinaties Via de sectie “Keyboard” worden Windows-toetsencombinaties omgeleid. Het spreekt voor zich toetsaanslagen van de “gewone toetsen” steeds naar de server worden gezonden. Voor speciale toetsen, zoals de Windowstoets (en combinaties ermee) ligt de situatie anders vermits het lokale systeem deze normaalgezien afhandelt. Als u bijvoorbeeld op de Windows-toets drukt, verschijnt het startmenu. Met Windows-E verschijnt Verkenner en met Windows-R start u het dialoogvenster Run. Om nog maar te zwijgen van Windows-D, Windows-M, Windows-F, Windows-Pause, enz. Ook toetsencombinaties zoals ALT-TAB om tussen programma’s over te schakelen worden normaal door het lokale besturingssysteem onderschept voor verwerking. Via de RDP-client is het echter mogelijk deze toetsen naar de server te sturen, althans bij Windows 2000 en Windows XP clients. Op oudere platformen zoals Windows 98 is deze optie uitgeschakeld. Noot: CTRL-ALT-DELETE blijft een lokale toetsencombinatie onder elk platform. Geen enkele applicatie kan deze SAS (security attention stroke) onderscheppen uit veiligheidsoverwegingen. Om die reden wordt onder het startmenu bij een Terminal Services sessie een item Windows Security toegevoegd dat hetzelfde effect heeft als een druk op CTRL-ALT-DELETE op de doelcomputer (figuur 45). Figuur 45 – Windows Security als vervanging voor CTRL-ALT-DELETE 32 Noot: Voor heel wat toetsencombinaties bestaat een alternatief onder Terminal Services. Zo kan men bijvoorbeeld het startmenu uitklappen via ALT-HOME. Een overzichtje van andere veelgebruikte combinaties is hieronder weergegeven. Klassieke toetsencombinatie WIN (Startmenu) ALT-TAB vasthouden (links naar rechts) ALT-TAB vasthouden (rechts naar links) ALT-TAB naar volgende programma ALT-SPATIE (Windows-menu venster) ALT-PrntScrn (screenshot huidig venster) PrntScrn (volledige screenshot) CTRL-ALT-DEL Terminal Services equivalent ALT-HOME ALT-PAGE UP ALT-PAGE DOWN ALT-INSERT ALT-DEL CTRL-ALT-(FN-)CTRL-ALT-(FN-)+ CTRL-ALT-END Een andere toetsencombinatie is CTRL-ALT-BREAK om te switchen tussen “venstermodus” en fullscreen modus. Dit is ondermeer nuttig indien u even snel iets op de lokale clientpc wenst uit te voeren en daarna terug wil naar een schermvullend beeld op de Terminal Server sessie. 6.1.3.3. Lokale apparaten en bronnen omleiden Tot slot vindt u onder “Local Resources” instellingen voor “Local devices” terug waarmee u de seriële poorten (COM), diskdrives en printers kunt afleiden naar de server. Op sommige systemen vindt u ook omleiding voor smart card terug, mits de nodige hardwareondersteuning. Laten we deze omleiding even nader bekijken. Veronderstel dat we zowel Printers als Disk drives hebben aangevinkt in de “Local devices” configuratie en pogen te verbinden met de server. Een eerste melding die dan wordt weergegeven is de volgende: Figuur 46 – Disk drives omleiden Het omleiden van disks houdt immers een aanzienlijk risico in indien u verbindt met een niet-betrouwbare server. U opent immers de poort naar de lokale computer vanop de server. Hoewel gegevens veilig getransporteerd worden, dient u zich er steeds van te vergewissen deze optie niet te gebruiken bij een onbekende server, iets wat u hopelijk in de praktijk niet te gauw tegenkomt. Eens verbonden met de server kunnen we een kijkje nemen onder de Verkenner op de server (via een druk op WIN-E indien omleiding van toetsencombinaties werd ingesteld – zie puntje 6.1.3.2 – en dit door de client ondersteund wordt, of via het startmenu of via ...). Door drive mapping worden de schijven van de lokale clientcomputer ook op de server zichtbaar. In volgende schermafbeeldingen ziet u het resultaat van dit alles. Zo heeft de clientpc (genaamd BIGBOY) waarop ik dit momenteel schrijf 3 lokale partities met letters C, D en E alsook een DVD-RW drive met letter X. U merkt meteen op dat dergelijke drive mappings op de server zichtbaar zijn als netwerkverbindingen. 33 Figuur 47 – Drive mapping van lokale drives De schijven A, C en D die weergegeven worden in Verkenner op de server zijn dus de échte schijven die in de hardware van de server zijn geïnstalleerd. Laat u bijvoorbeeld in de DVD-drive (D) een cd-rom achter met bepaalde zaken erop dan kunnen alle Terminal Services gebruikers dit bekijken via de Verkenner. Merk evenwel op dat deze drives verborgen kunnen worden via Group Policies (wat enige configuratie vereist). Wat betreft printers geldt een min of meer analoog principe, met één extra moeilijkheid: de driver van de printer moet ook op de server aanwezig zijn. Is dit niet het geval dan zal een gebeurtenis met foutcode 1111 gelogd worden onder het Systeemlogboek op de server. Om dit probleem op te lossen dient u (als beheerder) op de server naar de map Printers te gaan en dan via het menu File, Server Properties, tabblad Drivers de driver toe te voegen voor de desbetreffende printer. Dit alles is weergegeven in figuur 48 en 49. In bovenstaande uiteenzetting werd steeds impliciet gesproken over “automatische printer mapping”. Hierbij worden de printers van de client meteen omgeleid (indien de driver op de server gekend is) zonder verdere interventie. Voor LPT-gebaseerde printers is echter ook manuele printer-redirection mogelijk, als volgt. De client verbindt met de server met LPT-poortmapping ingeschakeld. Hierdoor worden virtuele poorten op de server aangemaakt die deze echte poorten voorstellen maar in werkelijkheid gegevens via het netwerk eerst terugsturen naar de client. Het is via die poorten en de wizard Add Printer dat een beheerder van de server een statische mapping kan maken naar de printer verbonden met de clientcomputer. (zie figuur 50). Het omleiden van de seriële poort zullen we hier niet verder bespreken maar kan interessant zijn voor de ondersteuning van speciale types hardware of technische panelen waarmee geïnterageerd wordt. Opnieuw wordt de lokale poort via het netwerk indirect verbonden met de server waardoor programma’s op de server de illusie krijgen met een échte lokale poort te maken te hebben terwijl dat in werkelijkheid stukken complexer verloopt op de achtergrond. 34 Tot vervelens toe vermelden we dat al deze instellingen evenwel door de server kunnen beperkt worden, zodat bijvoorbeeld drive mapping gewoonweg niet toegestaan wordt. Figuur 48 – Onbekende printerdriver op de server Figuur 49 – Printerdrivers toevoegen op de server 35 Figuur 50 – Een manuele printermapping uitvoeren 6.1.4. Een opstartprogramma instellen Een oude bekende die we reeds op de server zagen is het instellen van een startup programma (zie ondermeer figuur 14). Indien toegestaan kan de gebruiker hier een initieel programma instellen waardoor verbinding met de Terminal Server niet de klassieke Windows Explorer shell weergeeft maar een gespecifieerd programma. Merk op dat paden die hier opgegeven worden de paden zijn naar applicaties op de server en dus geen lokale paden, vermits de server daar geen bericht aan heeft. Figuur 51 – Een initieel programma instellen 36 Opnieuw heeft de server het laatste woord wat betreft initiële programma’s. Is de server zelf ingesteld om standaard een startup programma op te starten, dan zullen voorrangsregels gelden en wint de server de strijd. Ook gebruikersspecifieke instellingen in Active Directory kunnen hun rol spelen. Staat daar een standaardprogramma ingesteld (zie figuur 14) dan wordt dat programma genomen. Is het recht om een dergelijk programma op te geven ontnomen aan de gebruiker via zijn of haar profiel dan is dat uiteraard ook van kracht. 6.1.5. Gebruikerservaring Multimediale applicaties vereisen veel resources en netwerktraffiek, zoveel is duidelijk. Zo zal een poging om een te zware “omgeving” door te zenden naar een gebruiker via een smalbandverbinding typisch op problemen stuiten met een schokkerig beeld of een – op het zicht – traag reagerende server. Daarom kan de omgeving nader geconfigureerd worden om zware grafische zaken uit te schakelen. Figuur 52 – De gebruikerservaring configureren Via het tabblad “Experience” hebt u toegang tot een reeks vooraf geconfigureerde “profielen” op basis van de connectiesnelheid. Zo kan RDP perfect werken over een 28.8 Kbps verbinding (ja, u hoort het goed) mits u zaken zoals desktop achtergronden, animaties en thema’s uitschakelt. Bitmap caching wordt dan weer best wél ingeschakeld om snelheid te verhogen. Noot: Het spreekt voor zich dat niet enkel dit tabblad de volledige gebruikerservaring bepaalt. Zaken zoals de ingestelde resolutie, kleurendiepte en mappings bepalen zondermeer evenzeer de totale performantie die bereikt kan worden. Vermits u vooral op een LAN zult werken zou u minder snel op beperkingen moeten botsen maar indien dit toch gebeurt, is het tabblad “Experience” de eerste plaats om aan tuning te doen. Voor instabiele verbindingen is de instelling “Reconnect if connection is dropped” warm aanbevolen. In een dergelijk geval zal een verbroken verbinding leiden tot een reeks (20 in totaal) automatische “reconnection attempts”. Wordt de verbinding binnen die tijd hersteld (bijvoorbeeld via een Herstel/Repair-opdracht voor een draadloze verbinding) dan komt de sessie zondermeer terug levend zonder dat de gebruiker opnieuw een wachtwoord moet opgeven. 37 Figuur 53 – Automatisch herverbinden bij een verbroken connectie 6.1.6. Beveiliging Het laatste tabblad “Security” bevat nieuwe beveiligingsopties die geïntroduceerd werden in Windows Server 2003 SP1. Hieraan herkent u dat u – op heden althans – de laatste RDP-client versie draait. Een uiteenzetting over deze vrij geavanceerde materie zou ons te ver leiden en laten we dus achterwege. Extra informatie is te vinden in de helpfunctie en op het web. Tijdens de sessie kan hieraan eventueel extra tijd gespendeerd worden. 6.2. De duistere kant van de RDP-client Een goede tool zoals de RDP-client dient ook zijn duistere kanten te hebben . Vandaar deze paragraaf. Om deze duistere opties te onthullen voert u mstsc.exe -? uit (via de commandolijn in de map %programfiles%\Remote Desktop). Hiermee tovert u een venstertje tevoorschijn met extra mogelijkheden. Een overzichtje: Via /v kunt u meteen een server opgeven bij het oproepen van mstsc.exe (bijvoorbeeld mstsc /v:server). Met /f opent u de connectie meteen in full-screen modus. De opties /w en /h worden gebruikt om de dimensies van het bureaublad binnen de connectie in te stellen. Hiermee kunt u in principe rond de 4:3 beperking. Een resolutie groter dan 1600x1200 pixels is evenwel niet mogelijk. De resterende opties, waaronder /console en /edit bespreken we in meer detail. 38 Figuur 54 – Extra opties van Remote Desktop 6.2.1. Verbinden met de console De optie /console is uitermate interessant. Wat deze doet is (voor beheerders alleen) verbinden met de lokale console op de server, d.i. wat lokaal op de machine op het scherm te zien is. Indien u mstsc.exe start met de parameter /console zal bij verbinding met de server dé – er is er immers maar één – console-sessie geopend worden. Indien iemand aangemeld is aan de console dan verspringt het scherm op de server naar het “Computer Locked” scherm. Wordt de server terug lokaal ontgrendeld dan wordt de Terminal Services verbinding met de console verbroken. Noot: Uiteraard werkt /console maar van zodra het besturingssysteem op de server gestart is. Voor configuratie van het BIOS of zelfs de installatie van het besturingssysteem op afstand maar met toegang tot toetsenbord, muis en scherm hebt u een KVM-oplossing nodig. KVM staat voor Keyboard-Video-Mouse en laat toe een server volledig te bedienen via het netwerk. Met volledig bedoelen we dat het ook mogelijk is de machine écht te resetten, uit en aan te zetten en in het BIOS te snuisteren. Noot bij de noot: In de sessie wordt gebruik gemaakt van Virtual Server 2005 R2 wat een protocol aan boord heeft, genaamd VMRC, wat in feite KVM-toegang regelt tot een virtuele machine. Dit zal tijdens de sessie kort aangehaald worden. 6.2.2. RDP-bestanden In een groot deel van de gevallen zullen gebruikers herhaaldelijk met dezelfde instellingen aanmelden bij dezelfde server(s). Of misschien wilt u gebruikers gewoon één handige link te geven naar de Terminal Server om een sessie op starten. In dergelijke gevallen zijn RDP-bestanden de uitkomst. In figuur 42 zag u reeds een onderdeel “Connection settings” waar het mogelijk is om de opgegeven instellingen op te slaan of in te laden. Veronderstel dat u een servernaam opgeeft, de resolutie instelt op 1024x768, mappings definieert en een LANexperience aanduidt via het tabblad Experience. Dan is het via een druk op de knop “Save As” mogelijk deze instellingen te bewaren in een .rdp bestand. Noot: De standaardinstellingen worden per gebruiker bijgehouden in het (verborgen) bestand default.rdp in de My Documents map. 39 Daarna kunt u via mstsc het bestand terug openen met de knop Open. Alternatief (en handiger) is natuurlijk op het bestand te (dubbel)klikken vanuit Verkenner. Hierdoor wordt meteen een verbinding opgezet met de opgegeven instellingen. Via mstsc.exe /edit kunt u de instellingen in het bestand wijzigen. Tip: U kunt via Group Policies de bureaubladen van gebruikers(groepen) centraal bijhouden op de server zodat u controle hebt over de snelkoppelingen die aangeboden worden. Dit gebeurt via Folder Redirection: Figuur 55 – Folder Redirection van een bureaublad Door dan onder de opgegeven map een .RDP-bestand te plaatsen (of een snelkoppeling naar een .RDPbestand dat bijvoorbeeld in een gedeelde map staat) kunt u centraal de verbindingsinstellingen regelen. Nog een reden om Group Policies nader te bekijken. Noot: Een RDP-bestand is een zuiver tekstbestand en kan ook via Notepad geopend worden en bewerkt worden. De inhoud van het hier geconfigureerde bestand ziet er als volgt uit: screen mode id:i:1 desktopwidth:i:1024 desktopheight:i:768 session bpp:i:16 winposstr:s:2,3,0,0,800,600 full address:s:10.0.0.2 compression:i:1 keyboardhook:i:1 audiomode:i:0 redirectdrives:i:1 redirectprinters:i:1 redirectcomports:i:0 redirectsmartcards:i:1 displayconnectionbar:i:1 autoreconnection enabled:i:1 40 authentication level:i:0 username:s:Administrator domain:s:TSDEMO alternate shell:s: shell working directory:s: disable wallpaper:i:0 disable full window drag:i:0 disable menu anims:i:0 disable themes:i:0 disable cursor setting:i:0 bitmapcachepersistenable:i:1 7. Serverbeheer 7.1. Omspringen met sessies Sessies werden reeds eerder uitgebreid aangehaald in deze syllabus. Zo werd ondermeer duidelijk gemaakt wat het verschil is tussen afmelden en een verbinding verbreken, wat een sessie openhoudt op de server. Ook werd gesproken over het configureren van tijdslimieten voor sessies. Administrators en power users hebben echter nog meer mogelijkheden om te werken met sessies. Om exact te zijn, gaat het hier in feite over gebruikers die voldoende rechten (cf. Figuur 19) hebben om een aantal acties uit te voeren. Op de server vindt u namelijk onder de map Administrative Tools een programma terug genaamd “Terminal Services Manager” (tsadmin.exe). Via deze tool beheert u actieve sessies. Figuur 56 – De Terminal Services Manager Zo ziet u aan de linkerkant een lijst met actieve sessies op de RDP-Tcp connectie. Op een systeem in productie zullen dit er uiteraard véél meer zijn dan wat in de screenshot hier wordt weergegeven. Via een klik op de rechtermuisknop krijgt u toegang tot een aantal acties die op een sessie kunnen worden uitgevoerd, waaronder het verbreken van een sessie, het resetten van een sessie, het verzenden van een bericht en het overnemen van een sessie. 41 Figuur 57 – Een sessie beheren Het verzenden van een bericht (Send) is nuttig om personen te informeren van onderhoudswerkzaamheden: Figuur 58 – Berichten verzenden naar een Termianl Services sessie Disconnect is normaliter vrij duidelijk en verbreekt de connectie op de client. Afhankelijk van diverse instellingen (idle times e.d.) kan de gebruiker daarna al dan niet terug verbinden. Figuur 59 – Een sessie werd verbroken door de beheerder 42 Via Connect kunt u een sessie overnemen als deze actief is of verbroken (ook weer afhankelijk van instellingen wat kan en wat niet). Daartoe moet u eerst het wachtwoord opgeven van de gebruiker in kwestie (dit is echter niet mogelijk op de console of via een mstsc /console sessie). Deze optie werkt echter niet altijd even vlotjes en hangt af van een reeks configuratieparameters. In de praktijk is een dergelijke verbinding niet vaak interessant, ook uit privacy-redenen en vermits u het wachtwoord van een doelgebruiker normaal niet kent. De optie Status geeft nuttige informatie over de sessie weer, zoals hieronder geïllustreerd: Figuur 60 – Informatie over een sessie Remote Control is een andere krachtige feature onder sessiebeheer en stelt u in staat een andere gebruiker uit de nood te helpen door de sessie tijdelijk over te nemen, afhankelijk van configuratie al dan niet met een vereiste toestemming van de gebruiker in kwestie (zie figuur 16). Om een dergelijke hulpsessie te starten, moet u eerst een “hot key” definiëren om de hulpsessie te beëindigen (onder Windows XP “Hulp of afstand”, wat beroep doet op deze technologie, is dat Escape). Figuur 60 – Een hotkey voor “Remote Control” CTRL-* is de standaardinstelling (waarbij de asterisk op het numerieke toetsenbord gebruikt wordt, eventueel met Fn op laptops). Daarna wordt de sessie overgenomen en moet de client (afhankelijk van instellingen toegang goedkeuren binnen een zekere tijdslimiet): Figuur 61 – Remote Control toestaan 43 Uiteindelijk delen beide gebruikers nu dezelfde sessie en ziet de persoon die geholpen wordt alles in real time voor zijn neus gebeuren. Om de Remote Control te verbreken wordt de hotkey ingedrukt. Figuur 62 – Remote Control in actie Tot slot is er de optie Reset waarmee een connectie “brutaal” gereset wordt en de sessie gewoon getermineerd wordt. Dit kan nuttig zijn indien bronnen moeten vrijgemaakt worden of zaken in de soep draaien, maar over het algemeen hebt u dit niet nodig. Laten we het dus maar een laatste redmiddel noemen. 7.2. Programma’s installeren Een Terminal Server zonder applicaties is als een ... juist ja. Hoog tijd dus om applicaties te installeren op de server die ter beschikking komen te staan van de gebruikers. Eigenlijk verdient dit onderwerp nauwelijks een eigen paragraaf in deze syllabus gezien de eenvoud ervan. In grote lijnen komt de installatie van software op een Terminal Server gewoon neer op ... de installatie van de software op de server. Wenst u bijvoorbeeld Office 2003 te installeren op de server dan wandelt u met de disk in handen naar de machine en installeert u de software. Van zodra de installatie voltooid is, kunnen gebruikers dan de software ook effectief gebruiken via de Terminal Server. Moest het zo triviaal zijn, zou ik ook effectief geen aparte paragraaf hieraan gewijd hebben. U dient echter een paar kleine zaken te weten. Zo zal bij het starten van een setup de modus van de server tijdelijk gewijzigd worden naar installatiemodus. Concreet zorgt deze modus ervoor dat het risico op conflicten door de aanwezige gebruikers op het systeem gereduceerd wordt. Om deze status aan te duiden verschijnt een wizard “After installation” die u doorklikt eens de setup afgehandeld is. In het verleden – in Windows 2000 Server – moest u de modus manueel veranderen via het commando change user. Zo krijgt u via change user /query de huidige modus te zien, d.i. installatiemodus of uitvoeringsmodus. Via de commando’s change user /install en change user /execute verandert u deze modus n.a.v. een installatie (voor en na). In Windows Server 2003 gebeurt dit dus automatisch behalve voor oudere setuprogramma’s die Windows niet als setups herkent. In een dergelijk geval moet u nog steeds beroepen op deze commando’s. 44 Figuur 63 – In installatiemodus tijdens een setup Eens de setup voltooid is klikt u op Next en Finish om terug te keren naar uitvoeringsmodus. Figuur 64 – Terug naar uitvoeringsmodus Wenst u een stapje verder te gaan en tijdens een kritische installatie alle logonactiviteiten tijdelijk uit te schakelen dan kan u gebruik maken van change logon /disable (en analoog /enable om in te schakelen). Figuur 65 – Sessie logins tijdelijk uitschakelen 45 Indien logins uitgeschakeld zijn krijgen gebruikers het volgende te zien bij een poging tot het opzetten van een Terminal Services sessie (bestaande gebruikers kunnen gewoon verderwerken): Figuur 66 – Remote logins uitgeschakeld Hoe dan ook, de installatie van software is een makkie en software die ook draait onder Windows XP zal over het algemeen ook perfect werken op een Windows Server 2003 Terminal Server: Figuur 67 – Microsoft Office Word 2003 in een Terminal Services sessie 7.3. Nuttige commando’s Terminal Services beheert u niet alleen via een resem tools maar bestaat ook uit een aantal handige commandolijn-tools die hun nut kunnen bewijzen. Een overzicht van tools die ook via de GUI toegankelijk zijn: Logoff wordt gebruikt om een sessie (aangegeven met een ID) uit te loggen. Msg verzendt een bericht naar een bepaalde sessie. Query process geeft informatie weer over de processen die lopen op de Terminal Server, per sessie of per gebruiker weer te geven. 46 Query session geeft een overzicht van sessies en hun status. Query user geeft de gebruikers op het systeem weer, met status en sessieinformatie. Reset session wordt gebruikt om een sessie te resetten. Shadow start een remote control sessie op met een andere gebruiker. Tscon en tsdiscon spreken voor zich en connecteren en disconnecteren een sessie. Tskill laat toe een process op de server te beëindigen, bijvoorbeeld als een gebruiker vast zit. Andere nuttige tools zijn: Change user en change logon zoals eerder besproken. Change port om poorten te beheren (geavanceerd). Cprofile ruimt gebruikersprofielen op de server op en maakt ruimte vrij. Tsprof kopieert Terminal Services instellingen (zie §4) van één gebruiker naar een andere (vooral handig voor het aanmaken van grote hoeveelheden gebruikers met eenzelfde configuratie). Tsshutdn bespreken we hieronder in meer detail. 7.4. De server afsluiten U kunt zich wel inbeelden dat het afsluiten van een Terminal Server machine waarop gebruikers aan het werken zijn u niet bepaald geliefd maakt als dit leidt tot het verlies van werk. Daarom moet het afsluiten van een Terminal Server steeds weloverwogen en gepland gebeuren. Een eerste stap die je typisch kan uitvoeren is sessielogins te weigeren via change logon. Om het afsluitproces op een ”vriendelijke manier” te laten verlopen is er een tool genaamd tsshutdn die alle gebruikers op de hoogte brengt van het afsluiten van de server en hen de kans geeft hun werk af te sluiten. Figuur 68 – De Terminal Server “vriendelijk” afsluiten Figuur 69 – Clients worden op de hoogte gebracht Door deze procedure systematisch te volgen vermijdt u problemen. Sla er de helpfunctie van het commando op na via tsshutdn /?. 47 7.5. Licenties In deze syllabus concentreren we ons vooral op de technische kant van Terminal Services maar enige informatie over de licentiëring kunnen we niet achterwege laten (zij het dan wel eerder aan de korte kant). Om kort te gaan vereist Windows Server 2003 Terminal Services een zogenaamde Windows 2003 Terminal Server License Server die het aantal connecties monitort en het aantal beschikbare licenties controleert. Na installatie (preciezer: na de eerste aanmelding na de installatie) van de Terminal Server rol hebt u 120 dagen de tijd om een dergelijke server op te zetten en te configureren. Daarna kunnen gewone gebruikers niet meer aanmelden bij het systeem en is enkel remote administration nog mogelijk. Figuur 70 – Licentieserver niet geïnstalleerd Het installeren van een licentieserver gebeurt via het Control Panel, Add or Remove Programs, Add/Remove Windows Components. Daar kiest u de optie Termoinal Server Licensing: Figuur 71 – Een licentieserver installeren In principe kan een licentieserver opgezet worden voor een organizatie maar ook voor een domein of werkgroep specifiek. Dit hangt af van uw noden maar voor kleine netwerken is het onderscheid weinig van belang. Eens opgezet worden licenties in een database bijgehouden op de licentieserver. Deze dien je regelmatig te backuppen om verlies te vermijden. 48 Figuur 72 – De licentieserverconfiguratie Nadat de installatie volooid is, kunt u terecht bij de tool “Terminal Server Licensing” onder Administrative Tools: Figuur 73 – Beheer van licenties Hierna moet u de server activeren en kan u via die weg de nodige licenties bekomen. Activatie gebeurt automatisch of via een speciale web site of via de telefoon, naargelang uw keuze. Voor diverse licentieformules en –opties verwijzen we naar online informatie en de helpinformatie bij het product. Noot: Voor remote administration is géén licentiëring nodig. Het staat u vrij op elke server Remote Desktop in te schakelen voor administratieve doeleinden. Enkel voor het échte gebruik van Terminal Services voor het uitvoeren van programma’s voor gewone gebruikers is licentiëring vereist. 49 Figuur 74 – De licentieserver activeren 7.6. Verbinden met de server – poorten en meer Terminal Services beroept op het RDP-protocol om verbinding te maken met de server en gegevens uit te wisselen (zoals input via toetsenbord en muis en uitvoer naar het scherm) over het netwerk. Om dit correct te laten verlopen moet TCP-poort 3389 inbound op de server openstaan. Zoals u welicht weet bezit Windows Server 2003 een ingebouwde firewall die de server verder kan beveiligen. Het is echter geen sinecure alle nodige poorten open te zetten en niks te vergeten. Om die reden werd in Windows Server 2003 R2 de Security Configuration Wizard (SCW) geïntroduceerd, een nieuwe component die geïnstalleerd kan worden op het systeem en gebruikt wordt om de serverconfiguratie “lock-down’d” in te stellen met een optimale beveiliging op maat van de (rollen van de) server. Na installatie van de tool vindt u deze terug onder Administrative Tools. Het gebruik ervan is vrij eenvoudig: de wizard presenteert een aantal stappen om de beveiliging van de server op diverse vlakken te verhogen en daarna worden de gemaakte keuzes opgeslaan onder een security policy bestand in XML-formaat. Deze policy kan daarna toegepast worden op de machine en eventueel achteraf terug ongedaan gemaakt worden indien dat nodig zou blijken. De doorlopen stappen zijn: 1. Rol-gebaseerde configuratie waarin de rollen van de server worden aangeduid (de tool analyseert dit zelf, u kan correctieve actie ondernemen indien noodzakelijk). Voorbeelden van rollen zijn Domain Controller, File Server, Application Server, Terminal Server, etc. Tot slot worden onnodige services uitgeschakeld zodat deze niet onnodig opstarten en mogelijke veiligheidsrisico’s vormen. 2. In de netwerkbeveiligingsstap worden enkel de nodige poorten opengezet, al de rest gaat dicht. Het systeem weet wat nodig is en behoudt enkel dat (bvb 3389 voor Terminal Services, 80 voor IIS, etc). 3. Registry settings is de 3e stap die de wizard doorloopt en maakt een aantal wijzigingen die vooral opties uitschakelen die nog in het systeem zitten om oudere clients te ondersteunen (bvb pre NT4 SP6 of W2K3 SP4 clients). 4. Via de stap Audit Policy wordt auditing ingesteld wat de acties van gebruikers op het systeem bijhoudt bij faling ervan (bijvoorbeeld foutieve wachtwoorden). 50 5. De stap Internet Information Services tenslotte beveiligt de webserver extra door alle onnodige zaken uit te schakelen. Uiteindelijk wordt de policy opgeslaan en kan deze bekeken worden. Figuur 75 – De Security Configuration Wizard heet u welkom Figuur 76 – De gegenereerde policy nader bekeken Tot slot stelt het systeem u de vraag of u de policy al dan niet meteen wenst toe te passen. Dit is het moment waarop de beveiliging effectief aangepakt wordt. Als er iets misloopt, kunt u nog steeds terug naar de configuratie van voor het toepassen van de policy, dit ook via de SCW tool. 51 Figuur 77 – De security policy toepassen? Het toepassen van de policy duurt een paar minuutjes en daarna is de server in topvorm om op een veilige manier zijn werk te doen. Figuur 78 – De Security Configuration Wizard voltooit zijn missie Na de configuratie kunt u onder andere een kijkje nemen onder de Windows Firewall configuratie waarin u ziet dat poort 3389 toegelaten is onder de naam “Remote Desktop”. 52 Figuur 79 – De firewall werd netjes ingesteld 8. Systeemplanning Welke server hebt u nu nodig voor dit alles? Dit is zondermeer een moeilijke vraag die erg afhangt van het beoogde gebruik van de server en de belasting. Lijkt onderstaand lijstje te leiden tot een zware machine op basis van het aantal clients dat u wenst te connecteren, hou dan ook eens de prijs voor een totale nieuwe pcklas in het achterhoofd. Terminal Services komt dan al gauw uit als economischer. Een aantal vuistregels kan misschien helpen: Begin de berekening bij een machine die Windows Server 2003 aankan. Hier denken we aan een Pentium III of hoger met 256 MB RAM minimaal. Via die berekening is zeker 4 GB schijfruimte nodig om het systeem te installeren. Extra hardeschijfruimte bepaalt u in functie van de te installeren programma’s. Normaalgezien plaats u (o.a. uit veiligheidsoverwegingen) niks anders op de server dan programma’s. Daarnaast zal ook tijdelijke ruimte voor profielen nodig zijn. Gezien harddisks tegenwoordig zeer goedkoop zijn hoeft u hierop niet te besparen (bijvoorbeeld 300 GB SATA). Het geheugen vormt in feite het belangrijkste punt. Hoewel het draaien van een heleboel dezelfde programma’s (bijvoorbeeld Word 10 maal) serieus wat pagina’s in het geheugen kan delen, mag je toch rekenen op een 50-tal megabyte per gelijktijdige gebruiker. Hier geldt hoe meer hoe beter. Qua processor geldt ook hoe meer hoe beter. Voor een 30-tal gebruikers is een single processor geen obstakel, eens je hoger gaat zijn dual processors (of meer) aanbevolen. Tegenwoordig investeren chipfabrikanten als maar meer in “dual core” of “multi core” chips dewelke ook zeer interessant zijn. Deze chips bevatten in feite meer dan één processor maar met gedeelde cache. Zo hebt u standaard al 53 meteen een multiprocessor machine met slechts één fysieke processor. Mijn huidige laptop is bijvoorbeeld dual core, wat leidt tot volgende task manager: Figuur 80 – Een dual core processor Qua netwerkcapaciteit geldt eveneens hoe meer hoe beter. Een gigabit ethernet kaart is zeker zijn geld waard. Voorzie ook in een extra kaart via dewelke u de server verbindt met het internet (bijvoorbeeld via een router), maar de eigenlijke opstelling hangt uiteraard af van de reële situatie op het terrein. Algemeen gesproken kan je best de traffiek splitsen: RDP verkeer over één kaart, ander verkeer (bijvoorbeeld via hetwelke de server met de domeincontroller, de fileserver, het internet verbonden is) via een andere kaart. Hierdoor geraakt de “RDP-dedicated” kaart sneller in een soort van regimetoestand met veel regelmatigere patronen van byteverkeer. Een andere aanbeveling is het gebruik van gemirrorde schijven (RAID) voor twee redenen: Extra leessnelheid – vooral van belang indien u harddiskintensieve applicaties draait maar ook om de laadtijd van programma’s te versnellen. Ook applicaties zoals Encarta met de volledige encyclopedie op de harddisk geïnstalleerd profiteren hiervan. Extra veiligheid – de mirror vormt een bescherming tegen het uitvallen of defect geraken van één schijf. In zo’n geval gaat de server niet (lang) offline vermits de andere schijf nog leeft. SATA-harddisken zijn zeer geschikt voor dergelijke servers; SCSI is overbodig voor deze serverrol en zou de prijs aanzienlijk opkrikken. Zo kunt u met volgend stukje hardware gemakkelijk een 30-tal gebruikers aan en houdt u zeker groeimarge over (reken altijd te ruim, uitbreiden kost vaak meer achteraf): Dual Pentium IV of Xeon processor > 2 GHz 2 GB RAM 2x 300 GB SATA schijf in mirror Gigabit Ethernet kaart Hou rekening met uitbreidingmogelijkheden. Koop liever 2 chips van 1 GB dan 4 van 512 MB. Let ook op de bussnelheid van het moederbord. Hoe hoger hoe beter (>= 667 Mhz tegenwoordig). En iets wat misschien zeer 54 klein lijkt, nl. 2 MB L2 cache op een processor, heeft een immense positieve invloed op de performantie van het systeem. Hoe meer processor-cache (vaak aangeduid met L2 voor level-2), des te beter andermaal. Een vraag die tegenwoordig ook vaak gesteld wordt, is de impact van 64-bits op Terminal Services. Het is van groot belang te begrijpen waarvoor die 64-bits nu werkelijk staat. PC’s vandaag hebben typisch een 32-bits architectuur. Daarmee wordt bedoeld dat adressering van geheugen gebeurt met adressen van 32 bits elk. Met 32-bits kunt u 232 = 22 210 210 210 bytes = 4GB aanspreken. Met andere woorden, het maximale aantal geheugen dat direct (!) aangesproken kan worden bedraagt 4GB. Windows deelt die verder onder in 2GB voor kernel mode en 2GB voor user mode (hoewel dit o.a. kan aangepast worden via de /3GB en de /PAE switch in boot.ini) waardoor maximaal 2 GB voor programma’s beschikbaar is. 64-bits doorbreekt die barrière en laat 264 bytes addresseerbaar geheugen toe, oftwel 16 EB (exabyte = 1024 petabyte = 10242 terabyte = 10243 gigabyte), een zee van ruimte dus. Noot: De 32-bits barrière betekent niet dat 32-bits versies van Windows niet meer dan 4 GB geheugen kunnen hebben. Windows heeft een oplossing om toch meer geheugen toe te laten via een principe genaamd AWE (Advanced Windowing Extensions) en PAE (Physical Address Extensions). 64-bits is echter performanter. Figuur 81 – 64-bits versus 32-bits Voor Terminal Services is de voornaamste reden om 64 bits te gaan (wat meer en meer “mainstream” wordt tegenwoordig) de mogelijkheid om meer en meer geheugen te gaan gebruiken. Een aantal voorbeelden om een idee te geven van wat een machine aankan zijn hieronder weergegeven: Server Model CPU RAM Users (KW) on x86 Users (KW) on x64 HP DL 385 2 x AMD Opteron 16 GB 280 260 HP DL 585 4 x AMD Opteron 32 GB 240 380 HP DL 585 4 x AMD Opteron dual-core 32 GB 270 620 Een Terminal Server is overigens zijn investering op langere termijn dubbel en dik waard. Pc-klassen blijven hoe dan ook verouderen en door een Terminal Server in te schakelen kunt u telkens de oudste pc-klas inzetten als thin clients. Als die hardware echt afgeschreven is geraakt, kunt u een nieuwe pc-klas aanschaffen en de dan opnieuw oudste klas als terminals gaan gebruiken. 55 Andere vragen die we tijdens de sessie zullen beantwoorden omvatten: Een ideaal netwerkdesign voor Terminal Services? o Switches versus hubs o Een apart netwerk voor thin clients o Extra netwerksegmenten inbouwen o ... “Super thin clients” bouwen: verschillende oplossigen o Windows 98 shell vervanging o Windows XP Embedded o Windows CE o ... Hoe zit het met de praktijk? Een echte case study toegelicht. Wat is die Virtual Server 2005 R2 waarmee de demo’s gebeuren? (Kort antwoord: gratis te downloaden Microsoft-programma met massa’s mogelijkheden voor virtualisatie) En alle vragen die u mocht hebben... 9. Toekomst van Terminal Services In Windows Longhorn Server (release 2007) komt een nieuwe versie van Terminal Services met een heleboel nieuwigheden. Een overzicht dat we nader zullen toelichten tijdens de sessie (sorry voor de Engelstalige begrippen): Application Publishing with client-side file type associations Seamless Windows Terminal Server Gateway (TSG) Intelligent Avalon/WinFX Remoting Unified Management Console Redirection of Plug-n-Play devices with UDMF drivers Major Reworking of the Logon Process Major Reworking of User Profiles Per-User License Tracking Web interface RDP 6 Refined Windows System Resource Manager (WSRM) WMI Interface for Everything RDP Virtual Channel Tuning Mocht u nog verder vragen hebben na de sessie mag u me contacteren via [email protected]. 56
