Windows Server 2008

Terminaldienste holen gegenüber Citrix auf

13.03.2008 von Michael Pietroforte
Der dritte Teil des Testberichts zu Windows Server 2008 beschreibt die erweiterten Terminal-Dienste. Kleinere und mittlere Firmen können nun möglicherweise auf Zusatzsoftware verzichten.

Microsoft versah die Terminal-Dienste unter Windows Server 2008 mit einer Reihe nützlicher Erweiterungen. Dazu zählen die Verwaltung von Terminal-Server-Anwendungen ("TS RemoteApp"), der Web-Zugriff ("TS Web Access") sowie der sichere Zugang zu den Terminal-Diensten über das Internet ("TS Gateway"). Neben den auffälligen Neurungen wurden die Terminal-Dienste auch in vielen Details verbessert.

Einzelne Thin-Client-Programme

Mit Hilfe des neuen RemoteApp-Managers können Administratoren einzelne Anwendungen auf einem Windows-Server über die Terminal-Dienste zur Verfügung stellen. Anwender laden diese wie gewöhnliche Applikationen aus dem Startmenü ihres Arbeitsplatzrechners oder von einer Web-Seite. Die Anwendung präsentiert sich dann genauso, als ob sie auf dem lokalen Rechner laufen würde. Es ist nicht erkennbar, dass sie in Wirklichkeit auf einem Terminal-Server ausgeführt wird und dass der Client lediglich Bildschirminhalte und Benutzereingaben mit dem Backend austauscht. Alle Anwendungen eines Benutzers laufen dabei in einer Sitzung. Das beschleunigt den Start neuer Applikationen.

Der RemoteApp-Manager kann nicht nur einzelne Anwendungen über die Terminal-Dienste publizieren, sondern diese auch automatisch für den Web-Zugriff bereitstellen.

Auch unter Windows 2003 ist es schon möglich, nur eine bestimmte Anwendung auf einem Terminal-Server zu starten. Die wesentliche Neuerung unter Windows Server 2008 besteht jedoch darin, dass mit dem RemoteApp-Manager nun ein Tool zur Verfügung steht, mit dem Anwendungen zentral auf einem Terminal-Server bereitgestellt werden können. Der "Presentation Server" von Citrix bietet mit "Application Publishing", "Session Sharing" und "Seamless Windows" schon seit längerem ähnliche Funktionen.

Der Administrator erstellt unter Windows Server 2008 die Verknüpfungen der RemoteApp-Programme für die Arbeitsplatzrechner mit dem RemoteApp-Manager. In Frage kommt dafür entweder ein Windows-Installer-Packet (MSI) oder eine RDP-Datei. Die Verteilung auf die Clients kann dann beispielsweise über Gruppenrichtlinien erfolgen.

TS Web Access

Um von einer Website eine Anwendung auf einem Terminal-Server starten zu können, muss auf einem Windows Server 2008 der "Terminal-Dienste-Web-Zugriff" installiert sein. Neu daran ist, dass über den RemoteApp-Manager eingerichtete Programme automatisch auch für den Web-Zugriff zur Verfügung stehen. Dafür stellt Terminal-Dienste-Web-Zugriff eine spezielle Web-Seite bereit, die alle freigegebenen Anwendungen anzeigt. Das Entfernen einer RemoteApp-Anwendung lässt automatisch auch das entsprechende Web-Symbol verschwinden. Der Administrator kann jedoch einzelne Anwendungen für den Web-Zugriff auch manuell ausblenden.

Der Zugriff auf die Terminal-Dienste aus dem Web ist auch schon unter Windows Server 2003 möglich. Dafür ist die Remote-Desktop-Web-Verbindung notwendig, ein ActiveX-Steuerelement, das die Rolle des RDP-Clients für den Web-Zugriff übernimmt.

In der aktuellen Ausführung ersetzt die Remote-Desktop-Connection-Software (RDC) die ActiveX-Technik. Voraussetzung dafür ist indes, dass auf dem Client-Rechner mindestens RDC 6.0 installiert ist. Bei Windows Vista ist das standardmäßig der Fall, bei Windows XP lässt sie sich nachrüsten. Windows Server 2008 unterstützt auch noch die alte Variante mit dem ActiveX-Steuerelement. Allerdings muss man dann die entsprechende Web-Seite manuell verwalten.

Sicherer Zugriff über TS Gateway

Das Terminal-Dienste-Gateway dient dazu, über das Internet sicher auf firmeninterne Terminal-Server zugreifen zu können. Dabei wird RDP über HTTPS (HTTP mit SSL-Verschlüsselung) getunnelt. Ein Vorteil dieses Verfahrens besteht darin, dass der RDP-Port in der Firewall nicht geöffnet werden muss. Der TS-Gateway-Server befindet sich dabei im Perimeter-Netzwerk und leitet die RDP-Anfragen an die Terminal-Server im internen Netz weiter. Auf dem TS Gateway lässt sich über die Ressourcenautorisierungsrichtlinie konfigurieren, welche Server dafür in Frage kommen. Darüber hinaus können Administratoren mit der Verbindungsautorisierungsrichtlinie die Benutzergruppen bestimmen, die eine Verbindung zum TS Gateway aufbauen dürfen.

Verbesserungen der Terminal-Dienste

Die Lizenzierung der Terminal-Dienste wurde in zweierlei Hinsicht verbessert. Zum einen ist nun endlich auch eine Lizenzierung pro Benutzer möglich, während Windows Server 2003 lediglich gerätebasierte Lizenzen unterstützt. Zum anderen kann eine zugewiesene Lizenz im Falle der gerätebasierten Lizenzierung widerrufen werden. So lassen sich Lizenzen wieder freigeben, wenn sie auf einzelnen Computern nicht mehr benötigt werden. Um Missbrauch zu verhindern, ist dies aber nur für 20 Prozent der Lizenzen möglich. Die Wiederaufnahme einer unterbrochenen Sitzung funktioniert nun auch in einer Terminal-Server-Farm.

Der neue Terminal-Dienste-Sitzungs-Broker (TS Session Broker) bietet Lastverteilung und ist daher für Terminal-Server-Farmen eine Alternative zu Microsofts Network Load Balancing (NLB). Auf diese Weise lässt sich nun auch mit der Standardausgabe von Windows Server 2008 eine Lastverteilung beim Betrieb mehrerer Terminal-Server einrichten.

Neu ist auch der Drain-Modus. Muss ein Terminal-Server neu gestartet werden, können Administratoren verhindern, dass sich weitere Benutzer anmelden. Anwender, die bereits eine Sitzung geöffnet haben, sind weiterhin imstande, sich mit dem Terminal-Server zu verbinden.

Ein Problem beim Einsatz eines Terminal-Servers als Applikations-Server war von jeher die Einbindung lokaler Drucker. Mit "TS Easy Print" hofft Microsoft, dieses Problem in den Griff zu bekommen. Auch wenn auf dem Server der Treiber des lokalen Druckers nicht vorhanden ist, soll nun der Ausdruck dank XPS (XML Paper Specification), Microsofts Alternative zu PDF, besser funktionieren.

Neuerungen für Admins

Auch in Bezug auf die Fernverwaltung von Windows-Servern gibt es Neuerungen. Unter Windows Server 2003 lässt sich so manches Verwaltungs-Tool nicht in einer Terminal-Sitzung nicht ausführen. Systemverwalter können sich in so einem Fall auch entfernt im Konsolenmodus anmelden. Der Unterschied zwischen einer Sitzung an der Konsole und einer Terminalverbindung wurde bei Windows Server 2008 im Prinzip abgeschafft. Nun sollten aber die meisten Verwaltungswerkzeuge laufen, die unter Windows Server 2003 in einer Terminalsitzung den Dienst verweigern.

Nützlich ist auch, dass nun eine Meldung ausgegeben wird, wenn sich ein weiterer Systemverwalter anmelden möchte und bereits beide Lizenzen für die Fernverwaltung vergeben wurden. Reagiert der Administrator nicht, wird nach 30 Sekunden die Verbindung unterbrochen und die Lizenz freigegeben. Er kann dann zu einem späteren Zeitpunkt diese Sitzung wieder aufnehmen. (ws)

Stärken und Schwächen

Plus

  • Dank der neuen Möglichkeiten von TS RemoteApp und TS Web Access wird man in kleinen und mittelgroßen Unternehmen nun häufiger auf Terminal-Server-Erweiterungen von Drittanbietern wie Citrix und Ericom verzichten können.

  • TS Gateway ist erstaunlich einfach einzurichten. Sollen Mitarbeiter nur via RDP aus dem Internet auf das Firmennetz zugreifen, kommt man unter Umständen um den Einsatz einer aufwändigen VPN-Lösung herum.

  • Die vielen Verbesserungen im Detail erleichtern insbesondere den Systemverwaltern den Umgang mit den Terminal-Diensten.

Minus

  • Um wirklich alle neuen Features nutzen zu können, ist die neueste RDC-Version erforderlich. Diese ist derzeit nur für die Betaversionen von Windows Vista SP1 und Windows XP SP3 verfügbar.

  • Setzt man mehrere Terminal-Server ein, müssen die Anwendungen auf jedem Server einzeln publiziert werden. Zentrale Verwaltungs-Tools für Terminal-Server-Farmen fehlen unter Windows Server 2008.

  • Die Verteilung der MSI- beziehungsweise RDP-Dateien über Gruppenrichtlinien funktioniert nur innerhalb einer Windows-Domäne.

  • Applikationen unter RemoteApp lassen sich nur für alle Anwender publizieren. Eine Einschränkung auf einzelne Benutzer oder Gruppen ist nicht vorgesehen.

  • TS Web Access erlaubt keine Gruppierung von Anwendungen in Unterordner. Soll eine größere Zahl von Applikationen angeboten werden, verlieren die Anwender schnell die Übersicht.

  • TS Web Access klappte im Test bei Windows Server 2008 RC1 nur mit dem Internet Explorer. Im Firefox werden die Anwendungssymbole nicht angezeigt.

  • TS Session Broker unterstützt nur bis zu fünf Terminal-Server. Für den Einsatz von sitzungsbasierter Lastverteilung in größeren Terminal-Server-Farmen sind daher nach wie vor Erweiterungen von Drittanbietern notwendig.

  • Unter Windows Server 2003 können sich insgesamt drei Administratoren gleichzeitig über RDP anmelden, zwei in einer gewöhnlichen Terminal-Sitzung und einer im Konsolenmodus. Da Windows Server 2008 den Konsolenmodus nicht mehr kennt, können nun nur noch zwei Administratoren gleichzeitig einen Windows-Server verwalten.