Примечания. После того как задана роль контроллера домена, появляется возможность выполнять следующие действия. Сохранять данные каталога и делать их доступными для

• Нельзя добавить центру сертификации (ЦС) роль контроллера домена. Если компьютер является центром сертификации, роль контроллера домена недоступна в мастере настройки сервера.
• Компьютеры, работающие под управлением Windows Server 2003, Web Edition, не могут быть контроллерами домена. Дополнительные сведения о Windows Server 2003, Web Edition см. в разделе Общие сведения о Windows Server 2003, Web Edition.

После того как задана роль контроллера домена, появляется возможность выполнять следующие действия.

• Сохранять данные каталога и делать их доступными для пользователей сети и администраторов. Active Directory хранит сведения об учетных записях пользователей (например, имена, пароли, номера телефонов и тому подобные сведения) и позволяет другим пользователям той же сети, прошедшим проверку, получать доступ к этим сведениям.
• Создавать дополнительные контроллеры домена в существующем домене для повышения доступности и надежности сетевых служб.
• Повысить производительность сети между сайтами путем размещения контроллера домена на каждом сайте. Размещение контроллера домена в каждом сайте позволяет выполнять процесс входа в сеть внутри сайта без использования медленных подключений между сайтами.

Дополнительные сведения о применении этой роли сервера см. в разделе Роль контроллера домена: Настройка контроллера домена.

2. Определение Терминального сервера, назначение. сервер, предоставляющий клиентам вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач. Технически терминальный сервер представляет собой очень мощный компьютер (либо кластер), соединенный по сети с терминальными клиентами — которые, как правило, представляют собой маломощные или устаревшие рабочие станции, либо специализированные решения для доступа к терминальному серверу.

3. Сценарии развертывания терминальных служб.

Что вам необходимо учитывать в первую очередь при управлении рабочими столами Windows? Честно говоря, я уверен, что на первом месте будут следующие факторы:

• Развертывание программного обеспечения
• Защита от вирусов
• Обновление ПО

Используя Terminal Services вы можете значительно снизить сложность этих задач. Роль терминального сервера WS2K3 позволяет вам централизировать программное обеспечение, уменьшить число систем Windows в вашей среде и снизить риск заражения вирусами, централизованно обновляя антивирусное ПО и создавая единую точку входа для удаленных пользователей.

Существует три основные модели использования Terminal Services:

• Замена рабочего стола - Убрать со стола пользователя ПК с Windows и заменить его устройством тонкого клиента.
• Удаленный доступ - Обеспечение доступа удаленных пользователей к рабочему столу или индивидуальным приложениям через глобальные сети или RAS
• Провайдер приложений (Application service provider, ASP) - Предоставление доступа пользователей к индивидуальным приложениям, не инсталлируя эти приложения на рабочих столах пользователей.

4. Определение RDP. Назначение протокола RDP. История развития протокола RDP.

Основные характеристики протокола RDP.

RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, позаимствованный Microsoft из купленной у PictureTel (ныне известной как Polycom) телекоммуникационной программы Liveshare Plus (названной впоследствии NetMeeting), использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X, iOS, Android, Symbian. По умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО — Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows 2k/XP/2003/Vista/2008/7/8 называется mstsc.exe.

Особенности версии 5.2, используемой в Windows Server 2003 SP2 и в Windows XP SP3:

· Поддержка 32-битного цвета (в дополнение к 8-, 15-, 16-, и 24-битному в предыдущих версиях);

· Возможность использовать 128-битовое шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, по умолчанию не используется, значение безопасности RDP в Windows 2003 по умолчанию — RC2 (56 бит) c хешем MD5 с откатом на DES (40 бит). (Из-за слабого шифрования RC2 и DES при использовании настройки по умолчанию трафик может быть расшифрован по пути, см. тип уязвимости «man-in-the-middle vulnerability»);

· Поддержка Transport Layer Security (только при использовании шифрования RC4, AES или 3DES), по умолчанию не включена;

· Звук с удалённого ПК переадресовывается и воспроизводится на локальном компьютере;

· Позволяет подключать локальные ресурсы к удалённой машине (mapping);

· Позволяет использовать локальный или сетевой принтеры на удалённом ПК;

· Позволяет приложениям, выполняющимся в пределах текущего сеанса, обращаться к локальным последовательным и параллельным портам;

· Можно обмениваться информацией через буфер обмена.

Первая версия RDP появилась в Terminal Services Windows NT 4.0. Основан на ITU-T T.128 application sharing protocol (проект, также известный как T.share) из серии рекомендаций T.120. Первая версия RDP была введена Microsoft в Terminal Services как часть их продукта Windows NT 4.0 Server, Terminal Server Edition. Она основывалась на MultiWin технологии Citrix, изначально поставлявшейся как часть Citrix WinFrame для Windows NT 3.51. Поддерживались несколько пользователей и сессий входа одновременно.^[1]

· Версия 5.0, появившаяся в Windows Server 2000, имеет дополнительные возможности, например, печать на локальные принтеры, и лучше использует пропускную способность сети.

· Версия 5.1, появившаяся в Windows XP Professional, включала поддержку 24-битного цвета и звука.

· Версия 5.2, появившаяся с Windows Server 2003, включает поддержку консоли, каталог сеанса и подключение (mapping) локальных ресурсов. Начиная с этой версии поддерживается проверка подлинности сервера по сертификату SSL и шифрование соединения по протоколу TLS 1.0.

· Версия 6.0 установлена в Windows Vista и включила поддержку программ удаленного взаимодействия, приложениям Windows Presentation Foundation, поддержку нескольких мониторов

· Версия 6.1 была выпущена в феврале 2007 и включена в Windows Server 2008, и в пакет обновления Windows Vista SP1 и Windows XP SP3.
В дополнение к изменениям, связанным с улучшенным доступом к консоли, эта версия включает новые функциональные возможности, появившиеся в Windows Server 2008, такие как Terminal Services Easy Print driver (новая клиентская система перенаправления принтера, которая позволяет выполнять локальную печать из приложений, выполняющихся на сервере, не устанавливая драйвер печати на сервере).

· Версия 7 (вышла в составе Windows 7, поддерживается в Windows XP^[2])

по умолчанию в данной версии установлена 6.1.

· Поддержка аутентификации сетевого уровня (NLA (англ.)русск.) — снижает риск успешной атаки типа DoS

· Увеличение производительности ядра RDP

· Поддержка технологии Windows Aero (Aero over Remote Desktop)

· Поддержка технологий Direct2D и Direct3D 10.1 в приложениях

· Полноценная поддержка мультидисплейных конфигураций

· Улучшения в работе с мультимедиа

· Поддержка технологии Media Foundation

· Поддержка технологии DirectShow

· Снижена длительность задержки при воспроизведении аудио

· Версия 7.1 (вышла в составе Windows 7 SP1)

· Версия 8.0 (вышла в составе Windows 8, с октября 2012 года доступна как пакет обновления для Windows 7 SP1 и Windows Server 2008)

· Версия 8.1 (вышла в составе Windows 8.1, с ноября 2013 года доступна как пакет обновления для Windows 7 SP1 и Windows Server 2008 R2)

5. Лицензирование Terminal Server.

Установка роли «Службы терминалов»

Подопытным сервером выступит Windows Server 2008 R2. Активируем терминальный сервер и получим клиентские лицензии CAL на пользователя. Первым делом добавляем роли нашему серверу. Сильно подробно расписывать не буду - тут все просто.

1. Диспетчер сервера -> Роли -> Добавить роль -> Службы терминалов

2. В списке «Службы роли» отмечаем Сервер терминалов и Лицензирование служб терминалов

Этого вполне достаточно для поддержания базовой функциональности терминального сервера.

В процессе установки вам потребуется выбрать метод проверки подлинности - требовать проверку подлинности на уровне сети или нет. Включение проверки (рекомендуемое) обеспечит повышенную безопасность, но в этом режиме к серверу не смогут подключаться пользователи с устаревшими клиентами (rdp 5.х и ниже).

Решение данной проблемы я описывал ранее - Windows XP и терминальный сервер на Server 2008 R2.

Осталось определиться с режимом лицензирования: «на пользователя» или «на устройство».

Лицензии «на пользователя» следует выбирать в случае, когда пользователи не привязаны к конкретному компьютеру, требуется доступ к серверу как из корпоративной сети, так и из удаленной (дом, другой офис). В противном случае, выбирайте лицензии «на устройство».