Windows_Server_2008_R2_应用架构-第02部分_远程管理、TS_Gateway及RemoteApp.pptVIP

下载本文档

3
0
约6.65千字
约 51页
2017-08-22 发布于河南
举报
版权申诉

Windows_Server_2008_R2_应用架构-第02部分_远程管理、TS_Gateway及RemoteApp.ppt

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

远程管理远程管理、终端服务网关(TS Gateway)、TS RemoteApp 终端服务启用远程管理功能建立与结束远程管理联机启用单一登录（SSO）功能所谓的『远程管理』（RemoteAdministration）是指无法到服务器前操作的系统管理员,可以透过网络联机到伺服器,执行新增账户、设定权限、修改组策略等等管理工作,彷佛就坐在服务器前使用键盘与鼠标。其实这种『如朕亲临』的本事通常被称为『远程遥控』（Remote Control）,但是远程遥控所涉及的范围太大,既可以管理,也可以执行应用程序,而这两件事所牵涉的内容有很大的差异。从Windows 2000 Server开始,终端服务成为操作系统核心的一部份,区分为『远程管理』（Remote Administration）和『应用程序服务器』（ApplicationServer）两种模式。到了Windows Server 2003 / 2003 R2虽然不再用这两个名词,但是大致上承袭同样的架构。 Windows Server 2008终端服务是一种服务器角色（Server Role）,包含了以下五项角色服务（Role Service）：终端服务器（TerminalServer）：让客户端可以执行服务器的应用程序。 TS授权（TSLicensing）：用来管理联机到终端服务器的客户端授权（CAL, Client AccessLicense）数量。 TS会话代理人（TS SessionBroker）：在具有网络负载平衡（NLB）功能的多部服务器环境,确保客户端会联机到保有自己的会话（Session）的服务器。 TS网关（TSGateway）：对于来自因特网的用户端,必须通过TS网关的验证与授权后,才允许联机到企业内部网络。 TS Web存取（TS WebAccess）：允许客户端透过Web接口联机到伺服器,可说是『Web版的远程桌面联机』。所谓的网络层级验证是一种身分验证机制,在无此机制时,服务器端是先建立联机、后执行身分验证；而网络层级验证则将程序相反,先执行身分验证,通过验证后才建立联机。这样做的优点如下：服务器端耗用的资源较少因为通过验证才能建立连线,如果使用者输入错误的账户名称或密码,就无法通过验证,服务器自然不需要耗费资源建立连线,因此比较节省系统资源。降低被DoS攻击的机率当恶意的使用者对服务器建立大量连线,以进行DoS (Denial of Service)攻击时,如果服务器先建立联机、后进行验证,便会让网络带宽被一大堆等候验证的联机占满,而无法服务其他的使用者。若先验证后才建立连线,便不会有此问题。由于目前只有Windows Vista / Vista SP1和Windows Server 2008等系统内建的远程桌面连线程序支持网络层级验证,所以若我们确定客户端执行这些作业系统,就适合选取此项。如果客户端为Windows XP或Windows Server 2003 / 2003 R2,根据微软的说法,联机到/kb/925876,下载并安装6.0版的远程桌面连线程序（RDC 6.0）,便可支持网络层级验证功能。但是我们实测结果并非如此,虽然安装了RDC 6.0,却仍不支援网络层级验证,即使是Windows XP SP3亦然。在19-1节曾简介『单一登录』功能,此功能对于中大型网络的用户来说相当实用,可以免除一再输入用户名称与密码的困扰。不过要达到此功能,必须具备以下的条件：客户端必须采用Windows Vista / Vista SP1或Windows Server 2008系统,服务器必须采用Windows Server 2008系统。服务器与客户端必须都加入相同网域或互相信任的网域。客户端登入网域的帐户,必须在服务器也能用来登入网域,而且允许与服务器建立联机（请参考19-9页的『指定允许联机的使用者或群组』）。符合上述的条件后,请在服务器与客户端分别启用SSO功能。在安全性阶层字段的交涉,代表服务器会与客户端协调,若客户端支持SSL (TLS1.0),便优先使用此加密方式；否则便使用RDP加密方式。因为Windows Vista和Windows Server 2008都支援SSL (TLS1.0),所以协调的结果当然还是使用SSL (TLS1.0)。换言之,选取交涉或SSL (TLS1.0)的结果都是采用SSL (TLS1.0),而这里所谓的启用其实只是确认而已。假设客户端是Windows Vista系统,请按开始钮输入gpedit.msc、按Enter键,开启本地组原则编辑器窗口：接着再按两次确定钮、关闭本地组原则编辑器视窗,即可完成设定,最后重新启动系统,才能让此组策略生效。然后执