Download presentation
Presentation is loading. Please wait.
1
第 19 章 遠端管理
2
本章重點 19 - 1 終端機服務 19 - 2 啟用遠端管理功能 19 - 3 建立與結束遠端管理連線
啟用單一登入(SSO)功能
3
遠端管理 所謂的『遠端管理』(Remote Administration)是指無法到伺服器前操作的系統管理員, 可以透過網路連線到伺服器, 執行新增帳戶、設定權限、修改群組原則等等管理工作, 彷彿就坐在伺服器前使用鍵盤與滑鼠。 其實這種『如朕親臨』的本事通常被稱為『遠端遙控』(Remote Control), 但是遠端遙控所涉及的範圍太大, 既可以管理, 也可以執行應用程式, 而這兩件事所牽涉的內容有很大的差異。
4
遠端管理 因此本章聚焦於利用遠端遙控來管理系統, 至於執行應用程式的部分, 安排在下一章介紹。
Windows Server 2008 內建了遠端管理功能, 它是屬於終端機服務(Terminal Service)的一部份, 因此我們應該先認識終端機服務, 再來學習遠端管理。
5
終端機服務 從 Windows 2000 Server 開始, 終端機服務成為作業系統核心的一部份, 區分為『遠端管理』(Remote Administration)和『應用程式伺服器』(Application Server)兩種模式。 到了 Windows Server 2003 / 2003 R2 雖然不再用這兩個名詞, 但是大致上承襲同樣的架構。
6
Windows Server 2008 終端機服務的新內容
Windows Server 2008 終端機服務是一種伺服器角色(Server Role), 包含了以下五項角色服務(Role Service): 終端機伺服器(Terminal Server):讓用戶端可以執行伺服器的應用程式。 TS 授權(TS Licensing):用來管理連線到終端機伺服器的用戶端授權(CAL, Client Access License)數量。
7
Windows Server 2008 終端機服務的新內容
TS 工作階段代理人(TS Session Broker):在具有網路負載平衡(NLB)功能的多部伺服器環境, 確保用戶端會連線到保有自己的工作階段(Session)的伺服器。 TS 閘道(TS Gateway):對於來自網際網路的用戶端, 必須通過 TS 閘道的驗證與授權後, 才允許連線到企業內部網路。 TS Web 存取(TS Web Access):允許用戶端透過 Web 介面連線到伺服器, 可說是『Web 版的遠端桌面連線』。
8
Windows Server 2008 終端機服務的新內容
其實上面這 5 個角色服務都和遠端管理沒有什麼關係, 所以目前毋須安裝。 而本章的主角--遠端管理, 因為是預設就已經安裝的元件, 所以沒有所謂的伺服器角色或角色服務之分。 除了上述的 5 個角色服務之外, Windows Server 2008 的終端機服務還新增了以下的功能: 支援寬螢幕、大尺寸的顯示器
9
Windows Server 2008 終端機服務的新內容
而 Windows Server 2003 / 2003 R2 則只支援 4:3 畫面比例, 最大畫面僅 1600 × 1200 像素。 支援『跨螢幕顯示』(Monitor Sapnning) 可以用多個螢幕共同顯示一個桌面, 就像『電視牆』一樣。
10
Windows Server 2008 終端機服務的新內容
不過前提是每部螢幕都得設定相同的解析度, 而且最大畫面還是不能超過 4096 × 2048 像素。 單一登入(Single Sign-On, SSO) 若使用網域帳戶登入 Windows Vista, 之後與網域內的終端機伺服器連線時, 可以毋須再輸入帳戶名稱與密碼。 或者透過具有 TS Gateway 功能的終端機伺服器連線到其它終端機伺服器, 也同樣不必再次輸入帳戶名稱與密碼。
11
Windows Server 2008 終端機服務的新內容
這種只登入一次便可存取多部電腦的方式稱為 SSO, 關於這部分的細節請參考 19-4 節。 支援 32 Bit 色彩深度(Color Depth):亦即用 32 位元代表一個像素的色彩。 可將更多的 PnP 裝置重新導向, 例如:支援 PTP(Picture Transfer Protocol)的數位相機、支援 MTP(Midia Transfer Protocol)的多媒體播放器。 具有 TS Easy Print 功能:我們毋須事先在終端機伺服器安裝印表機驅動程式, 建立遠端連線後仍可以使用在用戶端所設好的印表機。
12
啟用遠端管理功能 當我們安裝好 Windows Server 2008 系統時, 預設已經安裝了遠端管理的元件, 只是基於安全性的考量而未啟用。
13
啟用遠端管理功能 啟用遠端管理功能的方式有以下 3 種: 1. 在初始設定工作視窗啟用:
14
啟用遠端管理功能 2. 在伺服器管理員視窗啟用:
15
啟用遠端管理功能 3. 在系統視窗啟用: 在『開始 / 電腦』命令按右鈕, 執行『內容』命令:
16
啟用遠端管理功能 上述 3 種方式都會開啟系統內容交談窗的遠端頁次, 如下圖:
17
啟用遠端管理功能 不允許連線到此電腦 預設選取此項, 代表任何使用者都無法利用遠端桌面連線, 連線到此電腦。簡單地說, 就是拒絕他人從遠端遙控此電腦。 允許來自執行任何版本之遠端桌面的電腦進行連線 若選取此項, 只要用戶端利用遠端桌面連線, 便能與此電腦建立連線, 遙控此電腦。 當我們無法確定用戶端執行哪一種 Windows 作業系統時, 應該選取此項。
18
啟用遠端管理功能 初次選取此項時會看到以下的交談窗:
此交談窗的意思是:伺服器將允許防火牆對來自用戶端的遠端桌面連線要求予以放行(亦即『建立例外』), 以建立連線, 所以我們一定要按確定鈕。
19
啟用遠端管理功能 但是這種自動建立例外的功能, 目前僅對 Windows 防火牆有效, 若採用其它廠商的防火牆, 則需手動開放 TCP 3389 連接埠。 僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線 若選取此項, 僅支援網路層級驗證(NLA, Network Layer Authentication)的遠端桌面連線才能建立連線。 初次選取此項時, 也會看到上述將會啟用遠端桌面防火牆例外的交談窗, 同樣應該按確定鈕。
20
網路層級驗證 所謂的網路層級驗證是一種身分驗證機制, 在無此機制時, 伺服器端是先建立連線、後執行身分驗證;而網路 層級驗證則將程序相反, 先執行身分驗證, 通過驗證後才建立連線。 這樣做的優點如下: 伺服器端耗用的資源較少 因為通過驗證才能建立連線, 如果使用者輸入錯誤的帳戶名稱或密碼, 就無法通過驗證, 伺服器自然不需要耗費資源建立連線, 因此比較節省系統資源。
21
網路層級驗證 降低被 DoS 攻擊的機率 當惡意的使用者對伺服器建立大量連線, 以進行 DoS (Denial of Service) 攻擊時, 如果伺服器先建立連線、後進行驗證, 便會讓網路頻寬被一大堆等候驗證的連線佔滿, 而無法服務其他的使用者。 若先驗證後才建立連線, 便不會有此問題。
22
網路層級驗證 由於目前只有 Windows Vista / Vista SP1 和 Windows Server 2008 等系統內建的遠端桌面連線程式支援網路層級驗證, 所以若我們確定用戶端執行這些作業系統, 就適合選取此項。 如果用戶端為 Windows XP 或 Windows Server 2003 / 2003 R2, 根據微軟的說法, 連線到 下載並安裝 6.0 版的遠端桌面連線程式(RDC 6.0), 便可支援網路層級驗證功能。
23
網路層級驗證 但是我們實測結果並非如此, 雖然安裝了 RDC 6.0, 卻仍不支援網路層級驗證, 即使是 Windows XP SP3 亦然。
24
怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證?
請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:
25
怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證?
26
指定允許連線的使用者或群組 伺服器啟用遠端管理功能後, 預設只有 Administrators 群組的成員可以建立連線, 若要指定其它的使用者或群組也可以建立連線, 請如下操作:
27
指定允許連線的使用者或群組
28
指定允許連線的使用者或群組
29
指定允許連線的使用者或群組
30
指定允許連線的使用者或群組 接著再按 3 次確定鈕即可完成設定。
其實以上動作的背後意義是:系統將我們所選取的使用者或群組加入 Remote Desktop Users 群組。 這是因為系統預設將允許透過終端機服務登入的權利賦予 Remote Desktop Users 群組, 所以該群組的成員才能利用遠端桌面連線程式來登入。
31
19 - 3 建立與結束遠端管理連線 一旦伺服器啟用遠端管理功能之後, 用戶端可以透過遠端桌面連線或遠端桌面來建立連線。
由於這兩個名詞太過相似, 為了避免讀者混淆, 我們將後者稱為『遠端桌面主控台』--因為它其實是一個開啟了遠端桌面嵌入式管理管理單元的 MMC 主控台。
32
以『遠端桌面連線』來建立連線 假設用戶端執行 Windows Vista, 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:
33
以『遠端桌面連線』來建立連線
34
以『遠端桌面連線』來建立連線
35
以『遠端桌面連線』來建立連線 連線列左端的圖釘用來控制何時顯示該列, 預設是『釘住』狀態, 代表一直顯示;若點選圖釘圖示, 使其變成『橫躺』狀態, 代表只在滑鼠指標經過時才顯示連線列。 倘若該伺服器已經有人用 administrator 帳戶登入, 則他會被強迫登出, 回到請按 CTRL + ALT + DEL 來登入的畫面, 而原先的工作環境(桌面和所開啟的視窗)會被從遠端登入的使用者所接管。
36
結束遠端桌面連線 結束遠端桌面連線時, 可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。
37
關閉執行中的程式 執行伺服器的『開始 / 登出』命令, 便會關閉所有執行中的程式, 並中斷連線:
38
不關閉執行中的程式 若按連線列最右端的關閉鈕, 則可中斷連線, 但不關閉執行中的程式:
39
不關閉執行中的程式 當我們要在伺服器上執行某些耗費時間的工作(例如:重整資料庫)時, 其實毋須一直佔用連線, 可以在開始執行後便中斷連線、但不關閉執行中的程式, 過一段時間後再重新連線, 察看執行進度。
40
何謂『工作階段』(Session)? 一般來說, 建立一個全新的連線便是建立一個工作階段, 直到中斷此連線, 該工作階段便結束。
在此期間, 所佔用的記憶體、CPU 運算時間、執行的程式、開啟的檔案等等, 都屬於同一個工作階段。 因此執行 IE、瀏覽網站是建立一個工作階段, 執行遠端桌面連線、遙控伺服器也是建立一個工作階段, 每個工作階段擁有唯一的工作階段代號(Session ID)。
41
何謂『工作階段』(Session)? 然而, 不同通訊協定所建立的工作階段有著不同的特性, IE 所建立的工作階段, 在關閉 IE 時便宣告結束。 但是遠端桌面連線所建立的工作階段, 卻可以在中斷連線之後繼續存在, 等到下次又建立連線時能接續原先的工作階段, 毋須建立新的工作階段。
42
以『遠端桌面主控台』來建立連線 假設要在 Windows Server 2008 遙控管理另一部 Windows Server 2008, 除了用上述的遠端桌面連線之外, 亦可執行『開始 / 系統管理工具 / 終端機服務 / 遠端桌面』命令:
43
以『遠端桌面主控台』來建立連線
44
以『遠端桌面主控台』來建立連線 在上圖有個利用 / admin 選項連線多選鈕, 預設會選取, 代表在連線時會送出『/ admin』參數, 這會造成以下的影響: 用來建立連線的使用者帳戶, 必須是 Administrators 群組的成員。 取消 TS Easy Print 功能。 取消 TS 工作階段代理人(TS Session Broker)重新導向功能。 取消 PnP 裝置重新導向功能。
45
以『遠端桌面主控台』來建立連線 要連線的伺服器若未安裝『終端機伺服器』角色服務, 是否送出 / admin 參數都沒差異。
伺服器的背景主題自動切換為 Windows 傳統。 要連線的伺服器若未安裝『終端機伺服器』角色服務, 是否送出 / admin 參數都沒差異。 但是若安裝了『終端機伺服器』角色服務, 用戶端連線時必須送出 / admin 參數, 才能毋須 TS 授權就可以建立連線。
46
以『遠端桌面主控台』來建立連線 而且, 若連線的目標不是 Windows Server 2008 伺服器, 而是 Windows Server 2003 或 Windows XP 主機, 微軟建議不要選取利用 / admin 選項連線多選鈕。 此外, 我們還發現一個小 bug --瀏覽鈕沒作用! 原本預期按瀏覽鈕之後, 可以看到有哪些 Windows Server 2008 可連線, 事實上卻沒顯示任何伺服器。
47
以『遠端桌面主控台』來建立連線 所以還是得如上頁步驟 2 依靠手動輸入電腦名稱或 IP 位址, 輸入完畢後按確定鈕:
48
以『遠端桌面主控台』來建立連線
49
以『遠端桌面主控台』來建立連線
50
以『遠端桌面主控台』來建立連線 接著可參照以上方式, 繼續與其它伺服器建立連線, 並隨時可在各連線之間切換, 等於一次可以管理多部伺服器。
最後記得執行『檔案 / 另存新檔』命令, 將這一切設定存成 msc 檔, 以後只要執行此 msc 檔便會開啟相同的主控台。
51
伺服器的畫面大小不會自動調整! 我們在不同電腦測試以『遠端桌面主控台』 連線時, 發現縮放主控台視窗的大小時, 伺服器的畫面卻不一定會跟著自動調整, 如下圖:
52
伺服器的畫面大小不會自動調整! 解決此問題的方法為事先設定伺服器畫面的大小, 其方式如下:
53
伺服器的畫面大小不會自動調整!
54
關閉『遠端桌面主控台』 關閉『遠端桌面主控台』時, 同樣可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。
55
關閉執行中的程式 執行伺服器的『開始 / 登出』命令, 便會關閉所有執行中的程式, 並中斷連線:
56
不關閉執行中的程式 若在伺服器名稱(或 IP 位址)按右鈕執行『中斷連線』命令, 則可中斷連線, 但不關閉執行中的程式, 如下圖:
57
啟用單一登入(SSO)功能 在 19-1 節曾簡介『單一登入』功能, 此功能對於中大型網路的使用者來說相當實用, 可以免除一再輸入使用者名稱與密碼的困擾。 不過要達到此功能, 必須具備以下的條件: 用戶端必須採用 Windows Vista / Vista SP1 或 Windows Server 2008 系統, 伺服器必須採用 Windows Server 2008 系統。 伺服器與用戶端必須都加入相同網域或互相信任的網域。
58
啟用單一登入(SSO)功能 符合上述的條件後, 請在伺服器與用戶端分別啟用 SSO 功能。
用戶端登入網域的帳戶, 必須在伺服器也能用來登入網域, 而且允許與伺服器建立連線(請參考 19-9 頁的『指定允許連線的使用者或群組』)。 符合上述的條件後, 請在伺服器與用戶端分別啟用 SSO 功能。
59
在伺服器啟用 SSO 功能 在 Windows Server 2008 執行『開始 / 系統管理工具 / 終端機服務 / 終端機服務設定』命令:
60
在伺服器啟用 SSO 功能
61
在伺服器啟用 SSO 功能 在安全性階層欄位的交涉, 代表伺服器會與用戶端協調, 若用戶端支援 SSL (TLS1.0), 便優先使用此加密方式;否則便使用 RDP 加密方式。 因為 Windows Vista 和 Windows Server 2008 都支援 SSL (TLS1.0), 所以協調的結果當然還是使用 SSL (TLS1.0)。 換言之, 選取交涉或SSL (TLS1.0)的結果都是採用 SSL (TLS1.0), 而這裡所謂的啟用其實只是確認而已。
62
在用戶端啟用 SSO 功能 假設用戶端是 Windows Vista 系統, 請按開始鈕輸入 "gpedit.msc"、按 Enter 鍵, 開啟本機群組原則編輯器視窗:
63
在用戶端啟用 SSO 功能
64
在用戶端啟用 SSO 功能
65
在用戶端啟用 SSO 功能 接著再按兩次確定鈕、關閉本機群組原則編輯器視窗, 即可完成設定, 最後重新啟動系統, 才能讓此群組原則生效。
然後執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:
66
在用戶端啟用 SSO 功能 Windows Vista 直接以目前登入的使用者名稱和密碼送給伺服器驗證, 通過驗證後便允許建立連線, 所以毋須輸入使用者名稱和密碼。 或許有人會覺得每次都必須指定伺服器名稱蠻麻煩, 萬一臨時要連線的對象不在本機群組原則的設定裡, 還得修改設定、重新開機。 在這裡我們透露一個小技巧--可以用『萬用字元』來指定伺服器的電腦名稱!
67
在用戶端啟用 SSO 功能 例如:genie-* 或 *.xdom.biz.tw, 所以若輸入"TermSrv/*", 代表連線到任何伺服器時都啟用 SSO 功能, 這就能解決先前的困擾了。
68
使用 SSO 功能時常見的問題 一般使用 SSO 功能時, 最常犯的錯誤在於忽略使用者帳戶的限制。
舉例來說, xdom\tony 帳戶(xdom 是網域名稱)被限制只能在 Tony-Vista 電腦登入網域, 因此當用戶端以此帳戶執行遠端桌面連線, 試圖透過 SSO 功能要與伺服器建立連線時, 便會看到以下的示誤訊息。
69
使用 SSO 功能時常見的問題
70
使用 SSO 功能時常見的問題 此時應該在網域控制站執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令, 雙按 tony、切換到帳戶頁次, 再按登入到鈕:
71
使用 SSO 功能時常見的問題 此外, 另一個也很常見的交談窗如下:
代表目前的帳戶未被伺服器允許建立遠端連線(因為預設僅有 Administrators 群組能建立連線)。
72
使用 SSO 功能時常見的問題 解決之道是開啟遠端桌面使用者交談窗, 將目前的帳戶加入清單中, 如下圖(假設目前的帳戶為 xdom\tony):
Similar presentations