Mit den Terminalservices - seit Windows 2008 R2 umbenannt in Remote Desktop Services (RDM) - begründete Microsoft einstmals das Server Based Computing für zentrale Applikationsbereitstellung und -administration. Der Remote Desktop erfreut sich in der IT großer Beliebtheit, ist er doch - zusammen mit dem dafür zuständigen Übertragungsprotokoll RDP - die Basis für eine zentrale Applikationsbereitstellung an Millionen von Anwendern.

Zugleich ist die Technik bekannt für notorische Schwächen, so dass der Einsatz in größeren Umgebungen schon zwangsläufig auf Zusatzprodukte angewiesen ist. Dabei hat Microsoft trotz stetiger Weiterverbesserung mit den Windows-Releases reichlich Verbesserungsspielraum für Drittanbieter gelassen. In den Bereichen Management, Performance, Funktionsumfang und Benutzererlebnis existieren bekannte Lücken, welche neben altbekannten Produkten wie Citrix XenApp auch der NetMan Desktop Manager von H+H Software aus Göttingen aufzufüllen gedenkt.

Anwendungsmanagement für Terminaldienste

Der NetMan Desktop Manager (NDM) beansprucht für sich, sowohl das Benutzererlebnis zu verbessern als auch dem Administrator alle für das Applikations- und Usermanagement notwendigen Tools an die Hand zu geben.

NDM versteht sich als Paket für das zentrale Anwendungsmanagement und unterstützt neben dem Microsoft Terminalserver (auf Basis von Windows 2003, 2008 und 2008 R2) auch die transparente Anbindung an Citrix Metaframe / Presentation Server / XenApp. Sogar Mischumgebungen aus Microsoft RDS und XenApp-Servern können für die zentrale Anwendungsbereitstellung gefahren werden. Die Unterstützung für Windows Server 2012 ist für Anfang 2013 geplant.

Die Microsoft Terminaldienste ergänzt NDM um eine Vielzahl von Funktionen und Tools in allen wichtigen Bereichen: Anwendungsbereitstellung auf unterschiedlichen Endgeräten und Betriebssystemen, Benutzerkomfort, Performance, Management der gesamten Umgebung, Sicherheit, Monitoring, Debugging, Protokollierung sowie Lizenzkostenüberwachung und -ermittlung.

Der NDM umfasst mehrere Dienste: NetMan Client Service, NDM Webservices, NDM Webserver, NDM SSL Gateway sowie eine zentrale Konfigurations-Konsole.

Der Aufwand für die Installation ist überschaubar: auf dem Terminalserver muss lediglich die NDM Server-Komponente eingerichtet werden. Diese bringt alle benötigten Services mit. Sollen mehrere Terminalserver ihre Applikationen im Netz bereitstellen, genügt es, auf diesen den NDM-Client zu installieren. Die NDM-Serverkomponente samt Manager wird dann auf einem separaten Host installiert, der dann als Verwaltungszentrale für die gesamte Umgebung fungiert.

Auf den Windows-PCs ist anschließend der NDM-Client als Paket zu installieren. Dieser bringt das RDP-Protokoll inklusive optionaler Beschleunigungskomponente mit. Die in NDM integrierte Client-Verteilung sorgt dafür, dass der NetMan Client automatisiert an alle beteiligten Windows-PCs ausgerollt wird, so dass keine lokalen Installationen nötig sind.

Im Desktop Manager ist auch ein Prozessrekorder an Bord, der Installationsvorgänge auf Windows-PCs mitschneiden kann, um daraus Installationspakete für vollautomatische Setups zu generieren.

Erweiterte Sicherheit

Mit wenigen Klicks kann der NDM-Admin die Terminal-Server zu einem Verbund für Failover sowie Lastausgleich zusammenschalten. Letzterer kann dabei auf Basis der Systemparameter CPU-Auslastung und Speicher-Auslastung sowie der Anzahl Sitzungen gesteuert werden. Mit Version 5 verwaltet NetMan neben Remote-Desktop-Sitzungshosts nun auch ganze Sitzungshost-Farmen. Diese fassen Sitzungshosts z.B. in verschiedenen Niederlassungen innerhalb von NetMan Desktop Manager zu logischen Einheiten zusammen. Dabei ist Load Balancing auch zwischen Serverfarmen verfügbar. Umfassende Performanceberichte informieren detailliert über die Auslastung der Rechner und womit sie beschäftigt sind.

Der NDM-Server kann seit Version 5 hochverfügbar gemacht werden, in dem entsprechende weitere Sekundärinstallationen aufgesetzt werden. NDM hält die Datenbanken über Primär- und Sekundärserver anschließend synchron; fällt der Hauptserver aus, übernimmt nahtlos der nächste Server dieses Replika-Sets.

Um die Sicherheit zu erhöhen, kann der Administrator zusätzlich den NDM SSL Gateway auf einem dedizierten Rechner installieren. Dieser klinkt sich als Reverse Proxy in den Netzwerkverkehr zwischen Clients und Server(n) ein und verschlüsselt diesen transparent, so dass für User aus dem Internet keine zusätzlichen Sicherungsmaßnahmen wie VPN erforderlich sind.

NDM schließt außerdem eine bekannte RDP-Sicherheitslücke: Potentiell können Zugriffe über die Manipulation von RDP-Konfigurationsdateien erschlichen werden. NDM schiebt dem einen Riegel vor, indem die Anmeldedaten für die Sitzungen nicht in den Sitzungsdateien für die Benutzer gespeichert werden, sondern ein Ticket-Mechanismus für die Anmeldung verwendet wird. Jede RDP-Datei wird dazu automatisch mit einem verschlüsselten Zeitstempel versehen - der Default liegt bei 120 Sekunden. Ist die vom Administrator vorgegebene Zeitspanne zwischen Erstellung der RDP-Datei und der Übermittlung zum Sitzungshost überschritten, wird der Start der Anwendung abgelehnt.