第 19 章遠端管理

著作權所有 © 旗標出版股份有限公司

本著作含書附光碟之內容 (不含 GPL 軟體 )，僅授權合法持有本書之讀者（包含個人及法人）非商業用途之使用，切勿置放在網路上播放或供人下載，除此之外，未經授權不得將全部或局部內容以任何形式重製、轉載、散佈或以其他任何形式、基於任何目的加以利用。

第 19 章遠端管理

2

19 - 1 終端機服務 19 - 2 啟用遠端管理功能 19 - 3 建立與結束遠端管理連線 19 - 4 啟用單一登入（SSO）功能

本章重點

3

遠端管理所謂的『遠端管理』（ Remote Administratio

n ）是指無法到伺服器前操作的系統管理員 , 可以透過網路連線到伺服器 , 執行新增帳戶、設定權限、修改群組原則等等管理工作 , 彷彿就坐在伺服器前使用鍵盤與滑鼠。

其實這種『如朕親臨』的本事通常被稱為『遠端遙控』（ Remote Control ） , 但是遠端遙控所涉及的範圍太大 , 既可以管理 , 也可以執行應用程式 , 而這兩件事所牽涉的內容有很大的差異。

4

遠端管理因此本章聚焦於利用遠端遙控來管理系統 , 至於執行應用程式的部分 , 安排在下一章介紹。

Windows Server 2008 內建了遠端管理功能 , 它是屬於終端機服務（ Terminal Service ）的一部份 , 因此我們應該先認識終端機服務 , 再來學習遠端管理。

5

19 - 1 終端機服務從 Windows 2000 Server 開始 , 終端機服務成為作業系統核心的一部份 , 區分為『遠端管理』（ Remote Administration ）和『應用程式伺服器』（ Application Server ）兩種模式。

到了 Windows Server 2003 / 2003 R2 雖然不再用這兩個名詞 , 但是大致上承襲同樣的架構。

6

Windows Server 2008 終端機服務的新內容 Windows Server 2008 終端機服務是一種伺服器角色（ Server Role ） , 包含了以下五項角色服務（ Role Service ）：終端機伺服器（ Terminal Server ）：讓用戶端可以執行伺服器的應用程式。

TS 授權（ TS Licensing ）：用來管理連線到終端機伺服器的用戶端授權（ CAL, Client Access License ）數量。

7

Windows Server 2008 終端機服務的新內容

TS 工作階段代理人（ TS Session Broker ）：在具有網路負載平衡（ NLB ）功能的多部伺服器環境 , 確保用戶端會連線到保有自己的工作階段（ Session ）的伺服器。

TS 閘道（ TS Gateway ）：對於來自網際網路的用戶端 , 必須通過 TS 閘道的驗證與授權後 , 才允許連線到企業內部網路。

TS Web 存取（ TS Web Access ）：允許用戶端透過 Web 介面連線到伺服器 , 可說是『 Web 版的遠端桌面連線』。

8

Windows Server 2008 終端機服務的新內容其實上面這 5 個角色服務都和遠端管理沒有什麼關係 , 所以目前毋須安裝。

而本章的主角－－遠端管理 , 因為是預設就已經安裝的元件 , 所以沒有所謂的伺服器角色或角色服務之分。

除了上述的 5 個角色服務之外 , Windows Server 2008 的終端機服務還新增了以下的功能：支援寬螢幕、大尺寸的顯示器

9


面對日益增多的大尺寸、寬螢幕液晶顯示器 , Windows Server 2008 支援 4:3 、 16:9 和 16:10 的畫面比例 , 最大畫面可達到 4096 × 2048 像素。

而 Windows Server 2003 / 2003 R2 則只支援 4:3 畫面比例 , 最大畫面僅 1600 × 1200 像素。

支援『跨螢幕顯示』（ Monitor Sapnning ）可以用多個螢幕共同顯示一個桌面 , 就像『電視牆』一樣。

10


不過前提是每部螢幕都得設定相同的解析度 , 而且最大畫面還是不能超過 4096 × 2048 像素。

單一登入（ Single Sign-On, SSO ）若使用網域帳戶登入 Windows Vista, 之後與網域內的終端機伺服器連線時 , 可以毋須再輸入帳戶名稱與密碼。

或者透過具有 TS Gateway 功能的終端機伺服器連線到其它終端機伺服器 , 也同樣不必再次輸入帳戶名稱與密碼。

11


這種只登入一次便可存取多部電腦的方式稱為 SSO, 關於這部分的細節請參考 19-4 節。

支援 32 Bit 色彩深度（ Color Depth ）：亦即用 32 位元代表一個像素的色彩。

可將更多的 PnP 裝置重新導向 , 例如：支援 PTP （ Picture Transfer Protocol ）的數位相機、支援 MTP （ Midia Transfer Protocol ）的多媒體播放器。

具有 TS Easy Print 功能：我們毋須事先在終端機伺服器安裝印表機驅動程式 , 建立遠端連線後仍可以使用在用戶端所設好的印表機。

12

19 - 2 啟用遠端管理功能當我們安裝好 Windows Server 2008 系統時 ,

預設已經安裝了遠端管理的元件 , 只是基於安全性的考量而未啟用。

13

啟用遠端管理功能啟用遠端管理功能的方式有以下 3 種：

1. 在初始設定工作視窗啟用：

14

啟用遠端管理功能2. 在伺服器管理員視窗啟用：

15

啟用遠端管理功能3. 在系統視窗啟用：在『開始 / 電腦』命令按右鈕 , 執行『內容』命令：

16

啟用遠端管理功能上述 3 種方式都會開啟系統內容交談窗的遠端頁次 , 如下圖：

17

啟用遠端管理功能不允許連線到此電腦預設選取此項 , 代表任何使用者都無法利用遠端桌面連線 , 連線到此電腦。簡單地說 , 就是拒絕他人從遠端遙控此電腦。

允許來自執行任何版本之遠端桌面的電腦進行連線

若選取此項 , 只要用戶端利用遠端桌面連線 , 便能與此電腦建立連線 , 遙控此電腦。

當我們無法確定用戶端執行哪一種 Windows 作業系統時 , 應該選取此項。

18

啟用遠端管理功能初次選取此項時會看到以下的交談窗：

此交談窗的意思是：伺服器將允許防火牆對來自用戶端的遠端桌面連線要求予以放行（亦即『建立例外』） , 以建立連線 , 所以我們一定要按確定鈕。

19

啟用遠端管理功能但是這種自動建立例外的功能 , 目前僅對 Win

dows 防火牆有效 , 若採用其它廠商的防火牆 , 則需手動開放 TCP 3389 連接埠。

僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線

若選取此項 , 僅支援網路層級驗證（ NLA, Network Layer Authentication ）的遠端桌面連線才能建立連線。

初次選取此項時 , 也會看到上述將會啟用遠端桌面防火牆例外的交談窗 , 同樣應該按確定鈕。

20

網路層級驗證所謂的網路層級驗證是一種身分驗證機制 , 在無此機制時 , 伺服器端是先建立連線、後執行身分驗證；而網路層級驗證則將程序相反 , 先執行身分驗證 , 通過驗證後才建立連線。

這樣做的優點如下：伺服器端耗用的資源較少因為通過驗證才能建立連線 , 如果使用者輸入錯誤的帳戶名稱或密碼 , 就無法通過驗證 , 伺服器自然不需要耗費資源建立連線 , 因此比較節省系統資源。

21

網路層級驗證降低被 DoS 攻擊的機率當惡意的使用者對伺服器建立大量連線 , 以進行 DoS (Denial of Service) 攻擊時 , 如果伺服器先建立連線、後進行驗證 , 便會讓網路頻寬被一大堆等候驗證的連線佔滿 , 而無法服務其他的使用者。

若先驗證後才建立連線 , 便不會有此問題。

22

網路層級驗證由於目前只有 Windows Vista / Vista SP1 和

Windows Server 2008 等系統內建的遠端桌面連線程式支援網路層級驗證 , 所以若我們確定用戶端執行這些作業系統 , 就適合選取此項。

如果用戶端為 Windows XP 或 Windows Server 2003 / 2003 R2, 根據微軟的說法 , 連線到 http://support.microsoft.com/kb/925876, 下載並安裝 6.0 版的遠端桌面連線程式（ RDC 6.0 ） , 便可支援網路層級驗證功能。

23

網路層級驗證但是我們實測結果並非如此 , 雖然安裝了 RD

C 6.0, 卻仍不支援網路層級驗證 , 即使是 Windows XP SP3 亦然。

24

怎麼判斷目前所用的遠端桌面連線程式 , 是否支援網路層級驗證？請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令：

25

怎麼判斷目前所用的遠端桌面連線程式 , 是否支援網路層級驗證？

26

指定允許連線的使用者或群組伺服器啟用遠端管理功能後 , 預設只有 Admi

nistrators 群組的成員可以建立連線 , 若要指定其它的使用者或群組也可以建立連線 , 請如下操作：

27

指定允許連線的使用者或群組

28


29


30

指定允許連線的使用者或群組接著再按 3 次確定鈕即可完成設定。其實以上動作的背後意義是：系統將我們所選取的使用者或群組加入 Remote Desktop Users 群組。

這是因為系統預設將允許透過終端機服務登入的權利賦予 Remote Desktop Users 群組 , 所以該群組的成員才能利用遠端桌面連線程式來登入。

31

19 - 3 建立與結束遠端管理連線一旦伺服器啟用遠端管理功能之後 , 用戶端可以透過遠端桌面連線或遠端桌面來建立連線。

由於這兩個名詞太過相似 , 為了避免讀者混淆 , 我們將後者稱為『遠端桌面主控台』－－因為它其實是一個開啟了遠端桌面嵌入式管理管理單元的 MMC 主控台。

32

以『遠端桌面連線』來建立連線假設用戶端執行 Windows Vista, 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令：

33

以『遠端桌面連線』來建立連線

34

以『遠端桌面連線』來建立連線

35

以『遠端桌面連線』來建立連線連線列左端的圖釘用來控制何時顯示該列 , 預設是『釘住』狀態 , 代表一直顯示；若點選圖釘圖示 , 使其變成『橫躺』狀態 , 代表只在滑鼠指標經過時才顯示連線列。

倘若該伺服器已經有人用 administrator 帳戶登入 , 則他會被強迫登出 , 回到請按 CTRL + ALT + DEL 來登入的畫面 , 而原先的工作環境（桌面和所開啟的視窗）會被從遠端登入的使用者所接管。

36

結束遠端桌面連線結束遠端桌面連線時 , 可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。

37

關閉執行中的程式執行伺服器的『開始 / 登出』命令 , 便會關閉所有執行中的程式 , 並中斷連線：

38

不關閉執行中的程式若按連線列最右端的關閉鈕 , 則可中斷連線 , 但不關閉執行中的程式：

39

不關閉執行中的程式當我們要在伺服器上執行某些耗費時間的工作（例如：重整資料庫）時 , 其實毋須一直佔用連線 , 可以在開始執行後便中斷連線、但不關閉執行中的程式 , 過一段時間後再重新連線 , 察看執行進度。

40

何謂『工作階段』（ Session ）？一般來說 , 建立一個全新的連線便是建立一個工作階段 , 直到中斷此連線 , 該工作階段便結束。

在此期間 , 所佔用的記憶體、 CPU 運算時間、執行的程式、開啟的檔案等等 , 都屬於同一個工作階段。

因此執行 IE 、瀏覽網站是建立一個工作階段 , 執行遠端桌面連線、遙控伺服器也是建立一個工作階段 , 每個工作階段擁有唯一的工作階段代號（ Session ID ）。

41

何謂『工作階段』（ Session ）？然而 , 不同通訊協定所建立的工作階段有著不同的特性 , IE 所建立的工作階段 , 在關閉 IE 時便宣告結束。

但是遠端桌面連線所建立的工作階段 , 卻可以在中斷連線之後繼續存在 , 等到下次又建立連線時能接續原先的工作階段 , 毋須建立新的工作階段。

42

以『遠端桌面主控台』來建立連線假設要在 Windows Server 2008 遙控管理另一部 Windows Server 2008, 除了用上述的遠端桌面連線之外 , 亦可執行『開始 / 系統管理工具 / 終端機服務 / 遠端桌面』命令：

43

以『遠端桌面主控台』來建立連線

44

以『遠端桌面主控台』來建立連線在上圖有個利用 / admin 選項連線多選鈕 , 預設會選取 , 代表在連線時會送出『 / admin 』參數 , 這會造成以下的影響：用來建立連線的使用者帳戶 , 必須是 Admini

strators 群組的成員。取消 TS Easy Print 功能。取消 TS 工作階段代理人（ TS Session Brok

er ）重新導向功能。取消 PnP 裝置重新導向功能。

45

以『遠端桌面主控台』來建立連線伺服器的背景主題自動切換為 Windows 傳統。

要連線的伺服器若未安裝『終端機伺服器』角色服務 , 是否送出 / admin 參數都沒差異。

但是若安裝了『終端機伺服器』角色服務 , 用戶端連線時必須送出 / admin 參數 , 才能毋須 TS 授權就可以建立連線。

46

以『遠端桌面主控台』來建立連線而且 , 若連線的目標不是 Windows Server 2

008 伺服器 , 而是 Windows Server 2003 或 Windows XP 主機 , 微軟建議不要選取利用 / admin 選項連線多選鈕。

此外 , 我們還發現一個小 bug －－瀏覽鈕沒作用！

原本預期按瀏覽鈕之後 , 可以看到有哪些 Windows Server 2008 可連線 , 事實上卻沒顯示任何伺服器。

47

以『遠端桌面主控台』來建立連線所以還是得如上頁步驟 2 依靠手動輸入電腦名稱或 IP 位址 , 輸入完畢後按確定鈕：

48


49


50

以『遠端桌面主控台』來建立連線接著可參照以上方式 , 繼續與其它伺服器建立連線 , 並隨時可在各連線之間切換 , 等於一次可以管理多部伺服器。

最後記得執行『檔案 / 另存新檔』命令 , 將這一切設定存成 msc 檔 , 以後只要執行此 msc 檔便會開啟相同的主控台。

51

伺服器的畫面大小不會自動調整！我們在不同電腦測試以『遠端桌面主控台』連線時 , 發現縮放主控台視窗的大小時 , 伺服器的畫面卻不一定會跟著自動調整 , 如下圖：

52

伺服器的畫面大小不會自動調整！解決此問題的方法為事先設定伺服器畫面的大小 , 其方式如下：

53

伺服器的畫面大小不會自動調整！

54

關閉『遠端桌面主控台』關閉『遠端桌面主控台』時 , 同樣可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。

55

關閉執行中的程式執行伺服器的『開始 / 登出』命令 , 便會關閉所有執行中的程式 , 並中斷連線：

56

不關閉執行中的程式若在伺服器名稱（或 IP 位址）按右鈕執行『中斷連線』命令 , 則可中斷連線 , 但不關閉執行中的程式 , 如下圖：

57

19 - 4 啟用單一登入（ SSO ）功能在 19-1 節曾簡介『單一登入』功能 , 此功能對於中大型網路的使用者來說相當實用 , 可以免除一再輸入使用者名稱與密碼的困擾。

不過要達到此功能 , 必須具備以下的條件：用戶端必須採用 Windows Vista / Vista SP1 或 Windows Server 2008 系統 , 伺服器必須採用 Windows Server 2008 系統。

伺服器與用戶端必須都加入相同網域或互相信任的網域。

58

啟用單一登入（ SSO ）功能用戶端登入網域的帳戶 , 必須在伺服器也能用來登入網域 , 而且允許與伺服器建立連線（請參考 19-9 頁的『指定允許連線的使用者或群組』）。

符合上述的條件後 , 請在伺服器與用戶端分別啟用 SSO 功能。

59

在伺服器啟用 SSO 功能在 Windows Server 2008 執行『開始 / 系統管理工具 / 終端機服務 / 終端機服務設定』命令：

60

在伺服器啟用 SSO 功能

61

在伺服器啟用 SSO 功能在安全性階層欄位的交涉 , 代表伺服器會與用戶端協調 , 若用戶端支援 SSL (TLS1.0), 便優先使用此加密方式；否則便使用 RDP 加密方式。

因為 Windows Vista 和 Windows Server 2008 都支援 SSL (TLS1.0), 所以協調的結果當然還是使用 SSL (TLS1.0) 。

換言之 , 選取交涉或 SSL (TLS1.0) 的結果都是採用 SSL (TLS1.0), 而這裡所謂的啟用其實只是確認而已。

62

在用戶端啟用 SSO 功能假設用戶端是 Windows Vista 系統 , 請按開始鈕輸入 "gpedit.msc" 、按 Enter 鍵 , 開啟本機群組原則編輯器視窗：

63

在用戶端啟用 SSO 功能

64

在用戶端啟用 SSO 功能

65

在用戶端啟用 SSO 功能接著再按兩次確定鈕、關閉本機群組原則編輯器視窗 , 即可完成設定 , 最後重新啟動系統 , 才能讓此群組原則生效。

然後執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令：

66

在用戶端啟用 SSO 功能 Windows Vista 直接以目前登入的使用者名稱和密碼送給伺服器驗證 , 通過驗證後便允許建立連線 , 所以毋須輸入使用者名稱和密碼。

或許有人會覺得每次都必須指定伺服器名稱蠻麻煩 , 萬一臨時要連線的對象不在本機群組原則的設定裡 , 還得修改設定、重新開機。

在這裡我們透露一個小技巧－－可以用『萬用字元』來指定伺服器的電腦名稱！

67

在用戶端啟用 SSO 功能例如： genie-* 或 *.xdom.biz.tw, 所以若輸入 "TermSrv/*", 代表連線到任何伺服器時都啟用 SSO 功能 , 這就能解決先前的困擾了。

68

使用 SSO 功能時常見的問題一般使用 SSO 功能時 , 最常犯的錯誤在於忽略使用者帳戶的限制。

舉例來說 , xdom\tony 帳戶（ xdom 是網域名稱）被限制只能在 Tony-Vista 電腦登入網域 , 因此當用戶端以此帳戶執行遠端桌面連線 , 試圖透過 SSO 功能要與伺服器建立連線時 , 便會看到以下的示誤訊息。

69

使用 SSO 功能時常見的問題

70

使用 SSO 功能時常見的問題此時應該在網域控制站執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令 , 雙按 tony 、切換到帳戶頁次 , 再按登入到鈕：

71

使用 SSO 功能時常見的問題此外 , 另一個也很常見的交談窗如下：

代表目前的帳戶未被伺服器允許建立遠端連線（因為預設僅有 Administrators 群組能建立連線）。

72

使用 SSO 功能時常見的問題解決之道是開啟遠端桌面使用者交談窗 , 將目前的帳戶加入清單中 , 如下圖（假設目前的帳戶為 xdom\tony ）：

第 19 章 遠端管理

Documents

第 19 章遠端管理