Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 19 Remotedesktopdienste (Terminaldienste)
Pfeil 19.1 Die Funktionen aus 10.000 m Höhe
Pfeil 19.2 Installation
Pfeil 19.3 Feature »Desktopdarstellung« installieren
Pfeil 19.4 Benutzerzugriff
Pfeil 19.5 Installation von Anwendungen
Pfeil 19.6 Desktop bereitstellen
Pfeil 19.7 RemoteApp-Programme
Pfeil 19.8 Administration und Verwaltung
Pfeil 19.8.1 Konfiguration des Remotedesktop-Sitzungshosts
Pfeil 19.8.2 Benutzeradministration
Pfeil 19.8.3 Remotedesktopdienste-Manager
Pfeil 19.8.4 Loopback-Verarbeitung
Pfeil 19.8.5 Remotedesktopdienste-Lizenzierungung
Pfeil 19.9 Drucken, Easy Print
Pfeil 19.9.1 Installation von Easy Print
Pfeil 19.9.2 Kurze Überprüfung
Pfeil 19.9.3 Gruppenrichtlinien
Pfeil 19.10 Web Access für Remotedesktop
Pfeil 19.11 RemoteApp- und Desktopverbindungen mit Windows 7
Pfeil 19.12 Remotedesktopdienste-Farmen mit Netzwerklastenausgleich und Remotedesktopdienste-Verbindungsbroker
Pfeil 19.12.1 Installation
Pfeil 19.12.2 Überwachen
Pfeil 19.12.3 RemoteApp-Programme »umpaketieren«
Pfeil 19.13 Remotedesktopdienste-Farmen mit DNS Round Robin bzw. Verbindungsbroker
Pfeil 19.14 Remotedesktopgateway
Pfeil 19.14.1 Anwendung und Architektur
Pfeil 19.14.2 Installation
Pfeil 19.14.3 Konfiguration
Pfeil 19.14.4 Clientkonfiguration und Verbindungsaufbau
Pfeil 19.14.5 Überwachung
Pfeil 19.14.6 NAP und das Remotedesktopgateway
Pfeil 19.15 Host für Remotedesktopvirtualisierung
Pfeil 19.15.1 Funktionsweise
Pfeil 19.15.2 Installation
Pfeil 19.15.3 Virtuelle Maschinen konfigurieren
Pfeil 19.15.4 Benutzer administrieren
Pfeil 19.15.5 Testen und verwenden
Pfeil 19.16 Schlussbemerkung


Galileo Computing - Zum Seitenanfang

19.8 Administration und Verwaltung Zur nächsten ÜberschriftZur vorigen Überschrift

Um die Remotedesktopdienste zu konfigurieren und zu verwalten, gibt es diverse Werkzeuge, die Sie über das Menü Verwaltung aufrufen (Abbildung 19.38):

  • Konfiguration des Remotedesktop-Sitzungshost: Hiermit wird der eigentliche Remotedesktop-Sitzungshost konfiguriert – das sagt ja auch der Name.
  • Remotedesktopdienste-Manager: Mit dieser Applikation können Administratoren sich einen Überblick über bestehende Verbindungen verschaffen, Sitzungen beenden, Prozesse überwachen, Benutzer fernsteuern und einiges andere mehr. Dieses Werkzeug dient nicht der Konfiguration, sondern der Überwachung.
  • RemoteApp-Manager: Hiermit werden RemoteApp-Programme eingerichtet und administriert – wie im vorherigen Abschnitt gezeigt wurde.
  • Remotedesktop-lizenzierungs-Manager: Dieses Werkzeug dient, wie unschwer zu erraten ist, zur Verwaltung des Lizenzservers.

Abbildung 19.38 Die Management-Werkzeuge für die Remotedesktopdienste

Neben den Werkzeugen, die explizit den Remotedesktopdiensten zugeordnet sind, gibt es einige andere Konfigurationsapplikationen, die mittelbar zur Administration und Konfiguration der Remotedesktopdienste genutzt werden:

  • Zu nennen wäre insbesondere Active Directory-Benutzer und -Computer, das für die Verwaltung der Remotedesktopdienste-Anwender verwendet wird. Die zu R2 (bzw. RSAT für Windows 7) gehörende Version kennt natürlich auch die neuen Namen (Remotedesktopdienste statt Terminaldienste, Abbildung 19.39).
  • Weiterhin sollte jemand, der Remotedesktopdienste administriert, sehr gut mit dem Gruppenrichtlinienverwaltungs-Editor vertraut sein. Die Möglichkeiten der Benutzer mithilfe von Gruppenrichtlinien einzuschränken, ist eine außerordentlich wichtige Tätigkeit in diesem Umfeld.
  • Das Snap-In Zuverlässigkeit und Leistung, insbesondere der dort vorhandene Systemmonitor, ist extrem wichtig, weil Performance-Messung und -Analyse im Remotedesktopdienste-Umfeld eine entscheidende Rolle spielen. Wenn vierzig Word-Instanzen auf einem System laufen, macht es schon einen Unterschied, ob die Benutzer Word im Wesentlichen als Schreibmaschine verwenden oder ob eine Dokumentautomatisierung mit intensiver Nutzung von Makros erfolgt. Um präzise Aussagen bezüglich des Performance-Bedarfs nebst Trends und sich abzeichnender Flaschenhälse zu treffen, ist das Messen nicht vermeidbar.

Abbildung 19.39 Das Werkzeug Active Directory-Benutzer und -Computer in der zum R2-Server gehörenden Version kennt natürlich auch die neuen Bezeichnungen.


Galileo Computing - Zum Seitenanfang

19.8.1 Konfiguration des Remotedesktop-Sitzungshosts Zur nächsten ÜberschriftZur vorigen Überschrift

Die Konfiguration eines Remotedesktop-Sitzungshosts wird mit der Konfiguration des Remotedesktop-Sitzungshosts vorgenommen. Es gibt zwei große Konfigurationsbereiche, nämlich die Verbindungen und die Einstellungen (Abbildung 19.40).

Das Konfigurationswerkzeug kann sich mit jedem beliebigen Remotedesktop-Sitzungshost verbinden, Sie brauchen sich also nicht auf jedem Server separat einzuloggen.

Abbildung 19.40 Mit diesem Konfigurationswerkzeug werden die Einstellungen eines Remotedesktop-Sitzungshosts konfiguriert.

Einstellungen

Die Einstellungen unterteilen sich in vier Gruppen:

  • Allgemein
  • Lizenzierung
  • Remotedesktop-Verbindungsbroker
  • Remotedesktop-IP-Virtualisierung

Die letzten Punkte werden in den jeweiligen Abschnitten genauer besprochen; hier kümmern wir uns zunächst um die allgemeinen Einstellungen (Abbildung 19.41, zu dem Dialog gelangt man übrigens, wenn man das Kontextmenü einer der Einstellungen aufruft).

Zu den ersten beiden Punkten ist Folgendes zu sagen: Der Remotedesktop-Sitzungshost muss, während der Benutzer verbunden ist und arbeitet, einige Daten ablegen. Diese werden in den temporären Ordnern gespeichert. An den Standardeinstellungen, nämlich diese temporären Verzeichnisse zu löschen und für jede Sitzung ein separates temporäres Verzeichnis anzulegen, sollten Sie nichts ändern.

Weiterhin macht es in den meisten Umgebungen Sinn, Benutzern nur eine gleichzeitige Verbindung zum Remotedesktop-Sitzungshost zu erlauben. Es mag sicherlich Situationen geben, in denen Benutzer ruhig mehrere Remotedesktopdienste-Sitzungen haben sollen bzw. dürfen; es überwiegen allerdings die Nachteile. Hat ein Benutzer beispielsweise ein halbes Dutzend Sitzungen geöffnet, wird er vermutlich den Überblick verlieren – oder schon verloren haben. Weiterhin verbraucht er erheblich mehr Systemressourcen, als wahrscheinlich notwendig wäre.

Die Optionen des Benutzeranmeldemodus dürften ebenfalls selbsterklärend sein.

Fazit ist also, dass Sie die in Abbildung 19.42 gezeigten Standardeinstellungen im Normalfall nicht verändern sollten.

Abbildung 19.41 Die Standardeinstellungen sollten im Allgemeinen nicht verändert werden.

Verbindungen

Viele Aspekte des Verhaltens des Remotedesktop-Sitzungshosts werden in den Verbindungseinstellungen konfiguriert. Zu dem Dialog kommen Sie über das Kontextmenü des Verbindungseintrags. Ein Remotedesktop-Sitzungshost kann für die Bereitstellung der Remotedesktopdienste mehrere Netzwerkkarten verwenden, die bei Bedarf jeweils mit einer separaten Verbindungskonfiguration gefahren werden können. Sie können die entsprechende Registerkarte des Eigenschaftendialogs einer Verbindung in Abbildung 19.42 sehen.

Abbildung 19.42 Eine Verbindungskonfiguration kann dediziert einer Netzwerkkarte zugeordnet werden.

Anmeldeeinstellungen

Auf der Karteikarte Anmeldeeinstellungen können Sie einstellen, ob die vom Benutzer übergebenen Anmeldeeinstellungen verwendet werden sollen oder ob immer dasselbe Benutzerkonto verwendet werden soll. Das ist so weit einleuchtend, keine Frage (Abbildung 19.43).

Abbildung 19.43 Die Konfiguration der Anmeldeeinstellungen

Zu beachten ist die Einstellung Kennwort immer anfordern. Hierzu ist zu erwähnen, dass der Remotedesktopverbindung-Client die Möglichkeit hat, die Anmeldeinformationen des Benutzers abzufragen und zu übermitteln – dies ist in Abbildung 19.44 gezeigt. Wie Sie sehen, können die Anmeldeinformationen auch gespeichert werden. Von daher könnte es aus Sicherheitsüberlegungen durchaus charmant sein, den Server in jedem Fall nochmals selbst nach den Anmeldeinformationen fragen zu lassen.

Abbildung 19.44 Der Remotedesktopverbindung-Client kann das Kennwort abfragen und an den Server übermitteln. Die Anmeldeinformationen können gespeichert werden.

Das Problem ist nun, dass diese Einstellung auch greift, wenn ein Benutzer auf RemoteApp-Programme zugreift. Normalerweise geht der Start eines RemoteApp-Programms so schnell, dass man gar nicht sieht, dass zuerst das Fenster des Remotedesktopverbindung-Clients mit Statusinformationen startet. Es blendet sich aus, sobald die vom Remotedesktop-Sitzungshost bereitgestellte Anwendung gezeigt werden kann.

Wenn die Einstellung Kennwort immer anfordern aktiv ist, bleibt das Statusfenster allerdings stehen und bietet eine Schaltfläche zur Anzeige von Details an. Klickt man auf diese, ergibt sich die in Abbildung 19.45 gezeigte Situation: Der Server möchte Anmeldeinformationen haben. Wenn der Benutzer sich anmeldet, würde es wie geplant weitergehen, aber der Sinn und Zweck der RemoteApp-Programme ist ja eigentlich, dass der Anwender keinen Unterschied zwischen lokal installierten und über Remotedesktopdienste bereitgestellten Applikationen bemerkt.

Im Klartext bedeutet das, dass Kennwort immer anfordern im Grunde genommen einer komfortablen Nutzung der RemoteApp-Programme zuwiderläuft.

Abbildung 19.45 Der Start eines RemoteApp-Programms bleibt hier hängen, wenn »Kennwort immer anfordern« gesetzt ist.

Lebensdauer einer Sitzung

Eine weitere wichtige Frage im Umfeld der Remotedesktopdienste ist die Dauer einer Sitzung (Session). Auf einem lokalen PC dauert die Sitzung im Zweifelsfall so lange, bis er ausgeschaltet wird. Da nun der Remotedesktop-Sitzungshost im optimalen Fall niemals ausgeschaltet wird, ergibt sich hier eventuell Konfigurationsbedarf. Weiterhin ist zu beachten, dass ein Benutzer seine Arbeit nicht zwingend dadurch beenden muss, dass er sich abmeldet, sondern auch ganz einfach den Remotedesktopverbindung-Client schließen kann. In diesem Fall läuft die Sitzung aus Sicht des Remotedesktop-Sitzungshosts weiter, sie ist lediglich getrennt.

Es stehen nun folgende Einstellmöglichkeiten zur Verfügung (Abbildung 19.46):

  • Eine nicht getrennte Sitzung soll nach einer bestimmten Zeit beendet werden.
  • Eine aktive Sitzung soll nach einer bestimmten Zeit beendet werden.
  • Eine Sitzung im Leerlauf (in der der Benutzer nicht arbeitet) soll nach einer bestimmten Zeit beendet werden.
  • Weiterhin kann eingestellt werden, was passieren soll, wenn der Benutzer mit einer Sitzung nicht mehr verbunden ist (also getrennt ist) oder die Sitzung durch eine Zeitbegrenzung beendet wurde: Die Sitzung kann entweder auf dem Server aktiv bleiben und der Benutzer wird von ihr getrennt, oder sie kann beendet werden.

Hier ist eine sorgfältige Abwägung zu treffen: Wenn eine getrennte Sitzung im Speicher des Remotedesktop-Sitzungshosts bleibt, verbraucht sie natürlich Ressourcen. Der Benutzer kann aber jederzeit seine Arbeit an der Stelle fortsetzen, an der er die Sitzung abbrach (bzw. an der die Sitzung durch äußere Umstände abgebrochen wurde, beispielsweise durch einen Ausfall der WAN-Verbindung). Würde eine solche Sitzung beendet, verlöre der Benutzer eventuell seine nicht gespeicherte Arbeit.

Abbildung 19.46 Hier können Sie einige Einstellungen bezüglich der »Lebensdauer« einer Sitzung vornehmen.

In dem Dialog des Konfigurationsprogramms wird auf überschreibbare Benutzereinstellungen verwiesen, die Sie vergeblich suchen werden – selbst wenn Sie alle Konfigurationswerkzeuge durchforsten. Die entsprechende Einstellmöglichkeit findet sich im Benutzerteil der Gruppenrichtlinien (BenutzereinstellungenAdministrative VorlagenWindows-KomponentenRemotedesktopdiensteRemotedesktop-SitzungshostSitzungszeitlimits). Sie können also recht einfach das Verhalten der Remotedesktopdienste pro Organisationseinheit steuern; in den meisten Szenarien werden hier allerdings keine weiteren Festlegungen getroffen (Abbildung 19.47).

Abbildung 19.47 Per Gruppenrichtlinie können Sie Einstellungen für die Remotedesktopdienste vornehmen – hier bezüglich der Lebensdauer von Sitzungen.

Ausführung von Programmen zu Beginn einer Sitzung

Zu Beginn des Abschnitts RemoteApp-Programme habe ich Ihnen vorgeführt, dass beim Start einer Remotedesktopdienste-Sitzung eine Applikation ausgeführt werden kann. Normalerweise erlaubt man dem Benutzer, zu bestimmen, ob ein Programm ausgeführt werden soll oder ob er den kompletten Desktop sehen möchte. Falls diese Standardeinstellung nicht erwünscht ist, können Sie festlegen, dass immer der Desktop gezeigt wird bzw. immer eine Applikation gestartet wird (Abbildung 19.48).


Hinweis

An dieser Stelle sei nochmals darauf hingewiesen, dass diese Einstellungen für eine Verbindung (d. h. für die Kommunikation über eine Netzwerkkarte) gelten. Es können durchaus Szenarien gebaut werden, in denen Benutzer aus unterschiedlichen Netzwerksegmenten auch unterschiedliche Möglichkeiten haben. Für einen bestimmten Anwenderkreis könnte so beispielsweise der Zugriff auf den Desktop ausgeschlossen werden.


Abbildung 19.48 Mit dieser Einstellung können Sie unterbinden oder erzwingen, dass beim Start einer Sitzung eine Anwendung gestartet wird.

Remotesteuerung

Administratoren und Mitarbeiter aus dem Benutzersupport haben die Möglichkeit, über eine Art »Fernsteuerung« in die Remotedesktopdienste-Sitzungen der Anwender zu schauen. Man spricht hier auch von Remotesteuerung bzw. Remoteüberwachung bzw. Session Shadowing.

Zumindest in Deutschland ist es sehr wichtig, dass eine Fernsteuerungssitzung nur begonnen werden kann, wenn der Benutzer zugestimmt hat. Ein »stiller Zugriff«, bei dem der Benutzer nicht zuvor um Erlaubnis gebeten wird, ist zwar grundsätzlich möglich, verstößt aber gegen geltendes Recht.

Im Allgemeinen wird man die entsprechenden Einstellungen bei den Benutzerobjekten vornehmen (dies wird im weiteren Verlauf noch besprochen), allerdings bietet auch die Verbindungskonfiguration eine Registerkarte mit Einstellungen (Abbildung 19.49).

Abbildung 19.49 Die »Remotesteuerung«-Einstellungen des Benutzers können überschrieben werden. Achtung! Ein »Geheim-Modus« (= keine Zustimmung des Benutzers abfragen) widerspricht in Deutschland der gängigen Rechtsprechung.

Im Normalfall können Sie die Standardeinstellungen beibehalten. Sie sollten auf jeden Fall kontrollieren, ob nicht aus irgendwelchen Gründen der »stille Zugriff«, bei dem die Zustimmung des Benutzers nicht abgefragt wird, angeschaltet ist – es wäre peinlich, wenn das bei einem Audit entdeckt würde …

Clienteinstellungen

Die Benutzer können im Remotedesktopverbindung-Client unter anderem konfigurieren, in welcher Farbtiefe die Darstellung erfolgen soll und welche lokalen Geräte in der Remotedesktopdienste-Sitzung nicht verwendet werden können.

Lokale Geräte sind beispielsweise:

  • lokale Laufwerke, beispielsweise C-Platte, CD-ROM-Laufwerk, Diskettenlaufwerk
  • Drucker
  • Soundkarte
  • Zwischenablage
  • USB-Geräte

Mit dem Dialog aus Abbildung 19.50 können Sie als Administrator festlegen, welche Möglichkeiten Sie Ihren Anwendern tatsächlich zur Verfügung stellen möchten. Die Dialogelemente sind selbsterklärend, hinweisen möchte ich noch darauf, dass Sie in diesem Dialog den Zugriff auf lokale Geräte nicht erlauben müssen, sondern dass Sie gezielt bestimmte Verbindungen deaktivieren! (Die Überschrift der Auflistung lautet Folgendes deaktivieren – das wird gern verwechselt.)

Abbildung 19.50 In diesem Dialog können Sie einstellen, welche Farbtiefe gestattet ist und welche lokalen Geräte auf Wunsch des Clients verbunden werden dürfen.

In Abbildung 19.51 sehen Sie die korrespondierende Einstellung im Remotedesktopverbindung-Client. Der Benutzer kann dort festlegen, welche lokalen Geräte er gern in seinen Remotedesktopdienste-Sitzungen zur Verfügung haben möchte. Egal was der Benutzer einstellt – die letztendliche Entscheidung, was zur Verfügung steht, wird gemäß den Einstellungen auf dem Server getroffen.

Neben Sicherheitsaspekten kommen bei der Entscheidung über die Konfiguration auch Performance-Überlegungen zum Tragen: Auch wenn der Benutzer vielleicht gern seine C-Platte als Datenspeicher nutzen würde, ist dies im Allgemeinen wenig vorteilhaft:

  • Erstens wird die lokale C-Platte vermutlich nicht gesichert werden. Das Ziel ist ja, dass Daten nur auf Servern gespeichert werden.
  • Wenn der Benutzer über WAN-Strecken seine Daten aufwendig zur C-Platte transportiert, wird ein Ziel, nämlich durch zentrale Remotedesktopdienste Bandbreite zu sparen, direkt verfehlt.

Abbildung 19.51 Was im Client konfiguriert wird, hat keinerlei Relevanz, wenn der Server diese Einstellungen nicht zulässt.

Sie sehen, dass es diverse gute Gründe dafür geben kann, mit dem Freigeben der Verwendung lokaler Ressourcen eher vorsichtig zu sein.

Sicherheit

Generell können Benutzer, die zur Gruppe Remotedesktopbenutzer gehören, auf den Remotedesktop-Sitzungshost zugreifen. Diese Gruppe ist in den Sicherheitseinstellungen der Verbindungskonfiguration als berechtigt eingetragen (Abbildung 19.52). Falls Sie mehrere Verbindungen auf einem Remotedesktop-Sitzungshost konfiguriert haben, für deren Nutzung unterschiedliche Mitarbeiter berechtigt werden sollen, kann dies hier festgelegt werden.

Abbildung 19.52 Auf der Registerkarte »Sicherheit« legen Sie fest, welche Benutzer auf diese Verbindung Zugriff haben sollen.


Galileo Computing - Zum Seitenanfang

19.8.2 Benutzeradministration Zur nächsten ÜberschriftZur vorigen Überschrift

Ein zentraler Punkt ist die Administration der Benutzer. Diese geschieht im Konfigurationswerkzeug Active Directory-Benutzer und -Computer, in dem zwei Registerkarten, nämlich Remotedesktopdienste-Profil und Remoteüberwachung, vorhanden sind. Die Remotedesktopdienste sind nahtlos in die Benutzerverwaltung integriert, so dass nur wenig zusätzliche Arbeit notwendig ist.

Auf der Registerkarte Remotedesktopdienste-Profil lassen sich ein Speicherort für ein Benutzerprofil und ein Pfad zu einem Basisordner angeben, die bei einer Anmeldung an einem Remotedesktop-Sitzungshost verwendet werden. Diese Pfade anders als das übliche Profil zu wählen, kann durchaus sinnvoll sein, falls das Profil für die Desktopanwendung diverse spezielle Einstellungen für und Verknüpfungen auf Komponenten enthält, die auf dem Remotedesktop-Sitzungshost nicht zur Verfügung stehen.

Insbesondere wenn Sie mehrere Remotedesktop-Sitzungshosts im Loadbalancing einsetzen, sollten Sie unbedingt ein Benutzerprofil auf einem separaten Server anlegen, da die Anwender sonst auf jedem Remotedesktop-Sitzungshost eine andere Konfiguration hätten bzw. Basiseinstellungen jeweils neu vornehmen müssten.

Falls für einen Benutzer der Zugriff auf die Remotedesktopdienste gesperrt werden soll, können Sie dies mit der Checkbox Anmeldung bei Remotedesktop-Sitzungshostserver erledigen; sie ist sozusagen der Haupt-Ausschalter für den Zugriff (Abbildung 19.53).

Abbildung 19.53 Das Remotedesktopdienste-Profil ermöglicht Einstellungen, die vom »normalen« Profil abweichen.

Die zweite Registerkarte, die sich speziell mit Einstellungen für die Remotedesktopdienste befasst, ist Remoteüberwachung. Ein Administrator oder Mitarbeiter im Benutzersupport kann eine Fernsteuerungssitzung beginnen und den Benutzer so unterstützen (Abbildung 19.54).

Zumindest in Deutschland ist diese Möglichkeit etwas, was der IT-Verantwortliche mit dem Betriebsrat besprechen sollte. Hier schwingen immer Aspekte wie »Überwachung der Mitarbeiter«, »Leistungskontrolle« etc. mit. Die deutsche Übersetzung, nämlich Remoteüberwachung, ist eindeutig misslungen; ein Begriff wie »Fernsteuerung« erweckte hier sicherlich deutlich weniger Misstrauen.

Es besteht die Möglichkeit, die Remoteüberwachung für die Benutzer komplett zu deaktivieren. Hierzu muss lediglich das Häkchen in der gleichnamigen Checkbox entfernt werden. Da die Fernsteuerung für die Unterstützung der Benutzer an sich sinnvoll ist, ist der bessere Weg sicherlich, sie zu aktivieren und die Checkbox Berechtigung vom Benutzer anfordern zu setzen.

Im Bereich Steuerungsebene können Sie wählen, ob die Anzeige der Benutzersitzung nur lesend erfolgen soll oder ob auch Eingriffsmöglichkeiten gegeben sein sollen (Interaktive Sitzung).

Abbildung 19.54 Beim Benutzerobjekt wird die Remoteüberwachung konfiguriert.


Galileo Computing - Zum Seitenanfang

19.8.3 Remotedesktopdienste-Manager Zur nächsten ÜberschriftZur vorigen Überschrift

Das im vorherigen Abschnitt vorgestellte Werkzeug beschäftigte sich mit der Konfiguration eines Remotedesktop-Sitzungshosts, der Remotedesktopdienste-Manager hingegen dient primär zur Überwachung und Betriebsunterstützung.

In Abbildung 19.55 ist der Remotedesktopdienste-Manager gezeigt. Sie können alle angemeldeten Benutzer, alle Sitzungen und alle auf dem Server laufenden Prozesse einsehen. Im Kontextmenü eines Benutzers stehen einige Optionen zur Verfügung, beispielsweise das Trennen oder Zurücksetzen der Sitzung, die Anzeige von erweiterten Statusinformationen und einiges andere mehr.

Die hier im Kontextmenü des Benutzerobjekts gezeigten Funktionen sind übrigens auch für Sitzungen (siehe die gleichnamige Registerkarte) vorhanden.

Abbildung 19.55 Im Remotedesktopdienste-Manager können Sie sehen, welche Benutzer aktuell angemeldet sind. Bei Bedarf können Sie die Verbindung beispielsweise trennen, zurücksetzen oder die Remoteüberwachung starten.


Remotedesktopdienste-Manager

Der Remotedesktopdienste-Manager kann auch auf dem Admin-PC gestartet werden, das Snap-In ist übrigens auch im Paket der Verwaltungswerkzeuge für den Client-PC vorhanden.

Wenn Sie den Remotedesktopdienste-Manager außerhalb einer Remotedesktopdienste-Client-Sitzung starten, erscheint direkt eine Warnung, dass einige Funktionen, wie beispielsweise die Remoteüberwachung, nicht zur Verfügung stehen (Abbildung 19.56).


Wenn Sie mehrere Remotedesktop-Sitzungshosts administrieren, bietet der Remotedesktopdienste-Manager die Möglichkeit, mehrere Remotedesktop-Sitzungshost in Gruppen zusammenzufassen. Wenn Sie die Gruppe markieren, sehen Sie alle Benutzer bzw. Sitzungen, die auf Servern dieser Gruppe angemeldet bzw. aktiv sind. Eine neue Gruppe können Sie erstellen, indem Sie die entsprechende Funktion im Kontextmenü des obersten Knotens der Baumdarstellung auswählen. Server fügen Sie zu einer Gruppe hinzu, indem Sie im Kontextmenü der Gruppe die passende Option aufrufen.

Wie bereits erwähnt wurde, funktioniert die Fernsteuerung nur, wenn der Remotedesktopdienste-Manager in einer Remotedesktopdienste-Sitzung aufgerufen wird. Dann steht, wie in Abbildung 19.55 zu sehen ist, auch die Funktion Remoteüberwachung im Kontextmenü zur Verfügung. Die Funktion ist für Helpdeskzwecke sehr praktisch, weil ein Administrator oder Supportmitarbeiter sich mit einem Mausklick auf die Sitzung des Anwenders aufschalten und sein Problem sehen, mit ihm besprechen und hoffentlich beheben kann.

Abbildung 19.56 Der Remotedesktopdienste-Manager kann zwar auch vom Admin-PC gestartet werden, allerdings erfolgt direkt eine Warnung, dass einige Funktionen nur in einer Clientsitzung der Remotedesktopdienste funktionieren.

Wenn Sie die Funktion Remoteüberwachung aufrufen, werden Sie zunächst gefragt, welche Tastenkombination Sie verwenden möchten, um die Sitzung wieder zu beenden. Die Tastenkombination, die Sie gewählt haben, sollten Sie sich wirklich merken, denn während der Remoteüberwachungssitzung sehen Sie von Ihrem Desktop oder dem Remotedesktopdienste-Manager keine Spur mehr (Abbildung 19.57).

Abbildung 19.57 Beim Aufruf der Remoteüberwachung werden Sie nach einer Tastenkombination für den Ausstieg aus der Fernsteuerungssitzung gefragt.

Hat der Administrator bzw. Supportmitarbeiter das Einleiten einer Remoteüberwachungssitzung aufgerufen, wird der betroffene Benutzer umgehend gefragt, ob er dieser Sitzung zustimmt (Abbildung 19.58).

Abbildung 19.58 Der Benutzer wird gefragt, ob er wirklich zulassen möchte, dass seine Sitzung ferngesteuert wird.

Ob der Benutzer gefragt wird, ist konfigurierbar, allerdings sollten Sie tunlichst keinen »stillen Modus« implementieren, selbst wenn es möglich ist. In Deutschland wird das zum einen den Betriebsrat auf die Barrikaden bringen, zum anderen verstößt die unbemerkte Überwachung von Mitarbeitern gegen geltendes Recht.

Stimmt der Benutzer dem Beginn einer Fernsteuerungssitzung zu, werden Sie umgehend seinen Bildschirm (Desktop oder RemoteApp-Programm) auf Ihrem Bildschirm haben. Je nachdem, was als Steuerungsebene ausgewählt wurde (Benutzersitzung anzeigen oder Interaktive Sitzung), können Sie als Administrator bzw. Supportmitarbeiter nur gucken oder selbst steuern. Wenn Sie die Sitzung beenden möchten, müssen Sie die zuvor abgefragte Tastenkombination kennen und anwenden.

Falls der Anwender dem Aufbau der Fernsteuerungssitzung nicht zustimmt, bekommen Sie einen lapidaren Hinweis, dass der Zugriff verweigert wurde.


Galileo Computing - Zum Seitenanfang

19.8.4 Loopback-Verarbeitung Zur nächsten ÜberschriftZur vorigen Überschrift

Ein sehr wichtiger Aspekt bei der Benutzerkonfiguration ist der Loopbackverarbeitungsmodus. Die Idee dahinter ist folgende:

  • Wenn ein Benutzer sich normalerweise anmeldet, werden die Richtlinien angewendet, die in der OU gelten, in der das Benutzerobjekt angelegt ist (nebst Vererbungen).
  • Beim Loopback-Verarbeitungsmodus verhält sich das System so, als befände sich das Benutzerobjekt in der OU, in der das Computerobjekt (d. h. der Remotedesktop-Sitzungshost) angelegt ist. Es werden also die in den dort gültigen Gruppenrichtlinien vorhandenen Benutzerrichtlinien angewendet.

Kurz gesagt ermöglicht der Loopback-Verarbeitungsmodus, dass auf Remotedesktop-Sitzungshosts für dieselben Benutzerobjekte andere Gruppenrichtlinien zum Einsatz kommen, als wenn sich die Benutzer auf einem Desktop-PC anmelden. In Umgebungen, in denen die Benutzer sowohl lokal installierte als auch über Remotedesktopdienste bereitgestellte Anwendungen nutzen, kann dies außerordentlich praktisch sein.

Der Loopback-Verarbeitungsmodus wird mit einer Gruppenrichtlinie für die entsprechenden Remotedesktop-Sitzungshosts aktiviert. Es macht vor diesem Hintergrund also Sinn, die Remotedesktop-Sitzungshosts in einer separaten OU anzusiedeln (Abbildung 19.59).


Anmerkung

Der Loopback-Verarbeitungsmodus funktioniert nicht nur mit Remotedesktop-Sitzungshosts, sondern mit jedem Computer. Es macht allerdings keinen Sinn (mir fällt jedenfalls kein sinnvolles Szenario ein), den Loopback-Verarbeitungsmodus auf einem Nicht-Remotedesktop-Sitzungshost einzusetzen.


Abbildung 19.59 Die Anwendung von Gruppenrichtlinien kann durch den Loopback-Verarbeitungsmodus verändert werden.


Galileo Computing - Zum Seitenanfang

19.8.5 Remotedesktopdienste-Lizenzierungung topZur vorigen Überschrift

Wenn Sie in Ihrer Umgebung Remotedesktop-Sitzungshosts betreiben, benötigen Sie in jedem Fall eine Instanz des zugehörigen Lizenzservers in Ihrem Unternehmen. Nach der Installation von Remotedesktop-Sitzungshosts können Sie zwar übergangsweise für eine gewisse Zeit mit temporären Lizenzen arbeiten, irgendwann wird es aber ernst, und Sie benötigen vom Microsoft Clearinghouse ausgestellte Lizenzen.

Wenn Sie den Rollendienst Remotedesktoplizenzierung installieren, werden Sie während des Installationsprozesses gefragt, ob Sie einen für das ganze Unternehmen gültigen Lizenzserver implementieren möchten oder ob nur eine Domäne oder Arbeitsgruppe selbigen nutzen soll (Abbildung 19.60). Da die Remotedesktoplizenzierung aber zuverlässig erreichbar sein muss, macht es nicht allzu viel Sinn zu versuchen, auf »Biegen und Brechen« einen zweiten Lizenzserver zu verhindern. In den meisten Fällen dürfte es die beste Lösung sein, pro Remotedesktopdienste-Farm einen Lizenzserver zu implementieren, also einen für die europäische Farm, einen für die asiatisch-pazifische Farm etc.

Abbildung 19.60 Bei der Installation des Lizenzservers können Sie zwischen einer Gesamtstruktur- und einer Domänen/Arbeitsgruppen-Konfiguration wählen

Der Lizenzserver bringt ein eigenes Konfigurations- und Administrationswerkzeug mit, das Sie unter dem Namen Remotedesktoplizenzierungs-Manager finden (Abbildung 19.61).

Einer der ersten Konfigurationsschritte ist das Aktivieren des Lizenzservers, was einfach über das Kontextmenü vorgenommen wird. Ist er aktiviert, steht auch die Möglichkeit zur Verfügung, Lizenzen zu installieren.


Konfiguration prüfen

Es ist übrigens eine ziemlich gute Idee, vor dem Beginn der Aktivierung zunächst den Menüpunkt Konfiguration prüfen aufzurufen. Dieser führt zu dem Dialog aus Abbildung 19.62. Im Fall dieses Beispiels läuft der Lizenzserver auf einem Remotedesktop-Sitzungshost, was in einer Ein-Server-Umgebung völlig in Ordnung ist; bei einer größeren Remotedesktopdienste-Farm empfiehlt sich aber aus verschiedenen Gründen die Installation auf einem Nicht-Remotedesktop-Sitzungshost.


Abbildung 19.61 Der Lizenzserver muss zunächst aktiviert werden

Abbildung 19.62 Das Ergebnis von »Konfiguration prüfen«

Beim Aktivieren eines Lizenzservers erhalten Sie von Microsoft ein Zertifikat, das auf Ihrem Lizenzserver installiert wird. Technisch betrachtet ist das Zertifikat im Grunde genommen lediglich eine Aneinanderreihung von Zeichen, daher kann dies alles auch über das Telefon geschehen – mühsam, aber möglich.

Wenn Sie die Aktivierung des Servers anrufen, startet ein Assistent, der zunächst von Ihnen wissen möchte, welchen Kommunikationsweg Sie für die Aktivierung verwenden möchten (Abbildung 19.63):

  • Automatische Verbindung ist am bequemsten, erfordert allerdings, dass der Lizenzserver eine Internetverbindung hat.
  • Webbrowser: Diese Variante wird verwendet, wenn der Lizenzserver keinen Internetzugang hat, im Unternehmen aber ein anderer Rechner mit Webzugriff vorhanden ist.
  • Telefon: Wenn Ihr Unternehmen keinen PC mit Webzugriff hat (gibt es das noch?), kann auch die telefonische Aktivierung gewählt werden.

Abbildung 19.63 Bei der Aktivierung müssen Sie zunächst die Aktivierungsmethode auswählen.

Am einfachsten ist es, wenn der Lizenzserver nebst zugehörigem Administrationswerkzeug eine Internetverbindung hat, wobei diese auch über einen Proxy-Server realisiert sein kann. Voraussetzung dabei ist, dass in den Verbindungseigenschaften des Internet Explorers die entsprechenden Einträge vorhanden sind.

Nach dem Start des Aktivierungsvorgangs wird der Verbindungsaufbau versucht. Sofern er erfolgreich ist, werden Informationen zu Ihrem Unternehmen und Ihrer Person abgefragt. Hierzu gibt es zwei Dialoge, der erste ist in Abbildung 19.64 zu sehen.

Abbildung 19.64 Grundlegende Daten zu Person und Kontaktmöglichkeiten müssen eingegeben werden.

Einige Sekunden nach dem Ausfüllen des Dialogs sollten Sie eine Meldung darüber bekommen, dass die Aktivierung des Lizenzservers erfolgreich gewesen ist (Abbildung 19.65). Dass der Lizenzserver aktiviert ist, bedeutet übrigens keinesfalls, dass nun alles erledigt wäre, vielmehr ist nun die Grundlage geschaffen, um erworbene Lizenzen aktivieren zu können.


Wichtig!

Auch wenn ich mich wiederhole: Es ist extrem wichtig, dass Sie den Lizenzserver installieren, aktivieren und die Lizenzen einspielen. Während einer »Karenzzeit« funktioniert es zwar zunächst auch ohne aktivierte Lizenzen, danach kann sich aber kein Benutzer mehr anmelden. Wie lästig das in einer produktiven Umgebung ist, braucht an dieser Stelle sicher nicht weiter ausgeführt zu werden. Trotzdem erlebe ich es in der Praxis mit bemerkenswerter Regelmäßigkeit, dass das Aktivieren der Lizenzen vergessen wird.


Abbildung 19.65 Wenn die Aktivierung erfolgreich war, erhalten Sie diese Bestätigungsmeldung

Das Einspielen der Lizenzen rufen Sie im Kontextmenü des aktivierten Lizenzservers im Konfigurationswerkzeug Remotedesktoplizenzierungs-Manager auf (Menüpunkt: Lizenzen installieren). Der erste Schritt bei der Lizenzinstallation ist die Auswahl des Lizenzprogramms, unter dem Sie die Remotedesktopdienste-Client-Zugriffslizenzen erworben haben (Abbildung 19.66). Wie der dann folgende Dialog, in dem die »konkreten« Lizenzen eingetragen werden, aussieht, hängt davon ab, unter welchem Lizenzprogramm Sie die Lizenzen erworben haben. Abbildung 19.67 zeigt die Eingabe von Lizenzen, die im Rahmen eines OPEN-Vertrags erworben wurden.

Abbildung 19.66 Beim Hinzufügen von Lizenzen wählen Sie zunächst das Lizenzprogramm aus.

Abbildung 19.67 Wie der Dialog zur Eingabe der Lizenzinformationen aussieht, hängt vom gewählten Lizenzprogramm ab.

Die Methode für die Kommunikation mit dem Microsoft Clearinghouse, also Automatische Verbindung, Webbrowser oder Telefon, kann übrigens jederzeit geändert werden. Im Eigenschaftendialog des Lizenzservers im Remotedesktoplizenzierungs-Manager finden Sie die Einstellmöglichkeit auf der Registerkarte Verbindungsmethode. Eine Änderung greift sofort, und der neue Kommunikationsweg wird beim nächsten Kommunikationsvorgang verwendet (Abbildung 19.68).

Abbildung 19.68 In den Eigenschaften des Lizenzservers können Sie auch bei einem bereits aktivierten Server festlegen, wie die Verbindung zum Microsoft Clearinghouse aufgebaut werden soll.

Mit der Aktivierung des Lizenzservers und der Installation von Lizenzen sind die »Lizenzthemen« eventuell noch nicht erledigt:

  • Falls Sie bei der Installation noch nicht den Lizenzierungsmodus festlegen wollten, wird die Einstellung auf Nicht angegeben stehen. Spätestens nach Ende der »Karenzzeit«, während der die Remotedesktopdienste ohne die »richtige« Lizenzierung laufen, müssen Sie sich für die Lizenzierung Pro Gerät oder Pro Benutzer entscheiden. Die beiden Lizenzvarianten sind bereits an früherer Stelle in diesem Kapitel ausführlicher erläutert worden.
  • Weiterhin können Sie bestimmen, in welcher Reihenfolge die Lizenzserver angesprochen werden sollen – sofern mehrere vorhanden sind.

Zu einem R2-Remotedesktop-Sitzungshost lassen sich, wie auf Abbildung 19.69 zu sehen, mehrere Lizenzserver hinzufügen. Das Hinzufügen geschieht mit dem auf Abbildung 19.70 gezeigten Dialog. Grundsätzlich kann man zwar auch manuell (das heißt per Computernamen oder IP-Adresse) einen Lizenzserver auswählen. Wenn der (oder die) Lizenzserver auf einem R2-Server laufen, ist dies nicht notwendig, weil sich diese im Active Directory registrieren; dabei wird ein SCP (Service Connection Point) angesprochen. Die »alte« automatische Lizenzservererkennung (wie noch in Windows Server 2008 ohne R2 vorhanden) wird übrigens nicht mehr unterstützt.

Abbildung 19.69 Den Dialog zur Konfiguration der Lizenzeinstellung eines Remotedesktop-Sitzungshost finden Sie im Werkzeug »Konfiguration des Remotedesktop-Sitzungshosts«.


Troubleshooting

Falls ein R2-Lizenzserver nicht angezeigt wird, hat vermutlich die AD-Registrierung bei der Installation nicht geklappt. Dies kann in der Applikation Remotedesktoplizenzierungs-Manager nachgeholt werden (Menüpunkt Konfiguration prüfen im Kontextmenü eines Lizenzservers).


Abbildung 19.70 Lizenzserver werden hier hinzugefügt. R2-Lizenzserver werden automatisch gefunden.

Sehr empfehlenswert ist die Lizenzierungsdiagnose, die ebenfalls im Werkzeug Konfiguration des Remotedesktop-Sitzungshosts verfügbar ist. Dieser Bericht enthält mehrere Abschnitte, die einen guten Überblick über die Lizenzierungssituation des Servers liefern (Abbildung 19.71). Da eine fehlerhafte Lizenzierung eventuell zu massiven Problemen führen kann, sollten Sie diese Möglichkeit unbedingt nutzen!

Abbildung 19.71 Hilfreich ist die Lizenzierungsdiagnose.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de