2022年惠普终端服务器配置手册12.doc

Windows Terminal Service终端效劳器集群系统安装配置文档修订：神州数码-毋果津-2006年3月 版本1.0惠普-靳玉罡-2006年7月 版本1.1惠普-靳玉罡-2006年10月 版本1.2目 录1配置说明31.1配置环境构成31.2安装配置步骤42调试步骤52.1终端效劳模块安装配置52.1.1安装终端效劳模块52.1.2终端效劳配置62.1.3终端效劳器上应用软件安装82.2域操纵器配置92.2.1在域操纵器上面创立组织单位、并将终端效劳器参加该组织单位92.2.2创立全局终端效劳用户组、创立用户并参加该全局组112.2.3指定遨游配置文件和共享网络文件夹途径132.2.4定制用户配置文件132.2.5屡次复制用户配置文件142.2.6设置配置文件主目录和用户目录权限142.2.7终端效劳器本地权限继承162.2.8配置组织单位中加强的策略172.3终端效劳器负载平衡182.3.1方法一：设置域操纵器的DNS轮询182.3.2方法二：设置终端效劳器NLB202.3.3NLB测试：242.3.4Session Directory配置262.3.5Session Directory测试：292.4RDP客户端配置323参考材料321 配置说明1.1 配置环境构成域操纵器+集中存储效劳器：Windows Enterprise Server 2003域操纵器安装DNS10.1.1.1 255.255.255.0 DNS:10.1.1.1 计算机名：win2003server推荐配置：单CPU、512M内存、系统盘符-C、集中存储盘符-D终端效劳器1：Windows Enterprise Server 200310.1.1.10 255.255.255.0 DNS:10.1.1.1计算机名：terminal1终端效劳器作为独立效劳器参加域customer推荐配置：双CPU、4G内存、系统盘符-C终端效劳器2：Windows Enterprise Server 200310.1.1.11 255.255.255.0 DNS:10.1.1.1计算机名：terminal2终端效劳器作为独立效劳器参加域customer推荐配置：双CPU、4G内存、系统盘符-C终端客户机：Windows XP10.1.1.100-199 255.255.255.0 DNS:10.1.1.11.2 安装配置步骤域操纵器终端效劳器瘦客户机1 安装终端效劳模块安装应用类软件（1-2种）2建立独立用户（测试后删除）3用户登陆测试根本设置正常登陆后接着->安装域操纵器和DNS效劳4.建立组织单位（terminal servers）5.参加主域和该组织单位5.建立全局组（remoteusers）6.建立用户群（u01-u0n）7.建立遨游配置文件8.建立用户个人目录9.配置组织单位策略（打开同意通过全局用户通过终端效劳登陆）并更新组织单位策略10.重新启动11用户登陆测试遨游文件配置和用户个人共享目录正常使用遨游文件和个人共享目录后接着-12配置组织单位加强策略（如会话、连接、登陆等计算机和用户加强策略）13重新启动14测试加强功能是否生效正常使用加强功能后接着->15.配置网络负载平衡DNS轮询成功后删除该配置16测试轮询是否生效正常使用轮询功能后接着-17配置网络负载平衡NLB18.测试网络负载平衡是否生效正常使用后接着->19.配置会话目录20测试会话目录正常工作后测试整体完毕2 调试步骤2.1 终端效劳模块安装配置2.1.1 安装终端效劳模块在效劳器上面安装终端效劳模块，安装完毕后包含三个根本模块，即终端效劳配置、终端效劳治理、终端效劳受权。在每台终端效劳器上，添加或删除程序中，去除IE加强的平安设置，增加终端效劳器，或者是通过治理效劳器，效劳器配置，添加终端效劳组件。2.1.2 终端效劳配置终端效劳配置-连接部分终端效劳配置-效劳器部分2.1.3 终端效劳器上应用软件安装切记使用以下方法安装程序终端效劳器的“添加/删除程序”中，选择“添加新程序”，进展应用软件的添加。假如不使用可能不是多进程方式。以Office为例此处输入的产品密钥和WinXP中安装Office的密钥不同，需要使用相符的密钥。完成应用软件的安装。在其它终端效劳器上重复该操作。2.2 域操纵器配置2.2.1 在域操纵器上面创立组织单位、并将终端效劳器参加该组织单位在域操纵器下面新建一个组织单位。命名为terminalservers.依次将终端效劳器 Terminal1-Terminal N参加该组织单位2.2.2 创立全局终端效劳用户组、创立用户并参加该全局组在域操纵器上，创立全局remoteusers组域操纵器上， 1-依次增加终端用户u01,u02,u03,u042-依次将u01,u02,u03,u04隶属于remoteusers全局组。2.2.3 指定遨游配置文件和共享网络文件夹途径更改终端用户u01终端效劳配置文件的途径至win2003serverremoteusersu01。更改终端用户u01终端效劳主文件夹的网络途径为，连接Z盘-win2003serverremotefoldsu01以次类推设置u01至u0n(或者通过脚本生成)2.2.4 定制用户配置文件配置文件权限说明：c:documents and setting下的default user组里面的绝大多数配置将妨碍将来的用户初始登陆配置，如桌面、本地珍藏夹c:documents and setting下的all user组里面的开场菜单程序将一直妨碍所有用户登陆后开场菜单的选项。因此正确的配置方法为，按照客户需求先将all user组里面的开场菜单程序减少到最小集。然后使用default user组里的配置文件按照多个用户组进展不同的定制并分别拷贝到不同的用户组详细用户的配置文件途径之中。制造方法：拷贝c:documents and setting下的default user组里面的内容并制造一套副本d:remoteusersu01并将其拷贝到各个用户配置文件指定途径下。2.2.5 屡次复制用户配置文件为了将配置文件与操作系统文件夹分开，我们将在D盘下建立目录remoteusers，在remoteusers下为每位终端用户建立各自的配置文件目录d:remoteusersu01-u0n。将上面修正正的配置文件依次拷贝入各个用户文件夹。假如此目录为空，终端客户第一次登录时，系统将自动复制c:documents and settingDefault user目录中的文件到该登陆用户的指定目录中。2.2.6 设置配置文件主目录和用户目录权限将d:remoteusers文件夹设置为共享，并指定共享权限为：remoteuser全局组（更改+读取），通过删除继承权限拿掉every one组和其它非必要用户组。更改d:remoteusersu01文件夹的平安权限为：u01用户（修正+读取）通过删除继承权限拿掉every one组和其它非必要用户组。从平安角度考虑，删除EveryOne用户访咨询此目录的权限并同时阻止remoteuser目录的权限继承。在每终端客户目录平安选项，选择高级去除打钩项选择删除。依次更改u01文件夹到u0n文件夹为每位终端用户本人的目录增加完全操纵权限。2.2.7 终端效劳器本地权限继承留意首先要将所有的终端效劳器参加域中并重新登陆为域内计算机。如此才能看到域内的组。当修正域操纵器全局策略或者组织单位策略后，重新启动终端效劳器即可将该全局策略导入终端效劳器本地，无需进展本地组策略或者本地平安策略的配置。2.2.8 配置组织单位中加强的策略A.域操纵器上面的组织单位里面的组策略编辑器。(加强配置)在域操纵器上Active directory用户和权限设置里面打开terminalservers组织单位的组策略。在该组策略编辑器里面能够做以下设置：1 客户端/效劳器数据重定向-不必修正默认配置。2 加密与平安性-在需要平安连接时能够进展设置。3 受权-不必修正默认配置。4 临时文件夹-在不希望生成临时文件夹时能够进展设置。5 会话目录-参加session directory时能够通过这里进展设置。备注：会话状态分为三种（断开、注销、活动）断开为网络连接断掉而会话活动注销为网络连接断掉且会话停顿活动为会话活动6 会话-不必修正默认配置。7 Keep-Alive-不必修正默认配置。8 自动重连接-是一个特别有用的选项，假如网络断掉，在5秒内最多能够发起20次左右的重新连接恳求，快速连接回原来的会话中。建议设置为启用9 限制终端效劳用户到一个远程会话-特别有用，如此我们能够不管会话和连接的状态强迫指定终端效劳用户从哪里断下来，从哪里连上去，不会产生多余的会话和其它容易引起误解的配置。也不必考虑所谓会话的时间限制或者keep-Alive等选项。建议配置为启用2.3 终端效劳器负载平衡设置终端效劳器的负载平衡有两种方法。l 在域操纵器中的DNS设置IP轮询。l 终端效劳器中设置网络负载平衡或使用网络负载平衡治理器；以上方法均可实现终端效劳器的负载平衡。同时都能够实现终端客户机和终端效劳器失去连接后，自动和其它终端效劳器连接，终端效劳器的NLB和负载平衡治理器重新连接的速度要比DNS IP轮询快些2.3.1 方法一：设置域操纵器的DNS轮询在域操纵器的DNS设置中，正向查找区域相应位置增加主机。名称cluster是终端客户访咨询终端效劳器的名称，IP是第一台终端效劳器的IP地址。再增加一台主机，名称同样为cluster，IP为第二台终端效劳器的IP地址。2.3.2 方法二：设置终端效劳器NLBNLB设置有两种方法：1、治理工具网络负载平衡治理器；2、在终端效劳器的网卡设置中直截了当设置。在终端效劳器的网卡上设置NLB操作步骤较少。在终端效劳器1的网卡上启用网络负载平衡，并选择属性。输入NLB集群的虚拟IP地址和名称，101192552552550Cluster.customer假如是单块网卡，选择多播，否则NLB无法工作。主机参数中输入优先级（每终端效劳器唯一）、本机网卡的IP设置。在此网卡的TCP/IP属性中选择高级，添加NLB虚拟IP地址，此处为10.1.1.9在终端效劳器2上完成同样配置如今，终端客户能够通过虚拟IP地址10.1.1.9访咨询终端效劳。如需要通过虚拟主机名访咨询，需在域操纵器的DNS设置中增加一条主机记录。域操纵器的DNS设置中增加一条主机记录。名称：cluster；IP：10.1.1.9。主机记录增加完成后，选择cluster记录的属性，选择平安。增加终端效劳器terminal1和terminal2，同时添加写入权限给此二台终端效劳器。2.3.3 NLB测试：终端客户机1上使用远程桌面连接，输入完好的计算机名cluster.domain.local，用户名和相应密码。连接终端效劳器。能够看到此计算机连接到terminal1终端效劳器。使用终端客户机2接着连接另一台终端客户登录到terminal2终端效劳器，（缺图）。以上配置完成后，可接着配置会话目录（Session Directory）2.3.4 Session Directory配置配置会话目录的目的是当终端效劳器和终端客户机的连接断开后，终端客户机重新登录时，如今由于有多台终端效劳器，会话目录保证断开连接的终端客户能够连接到正确的终端效劳器，使终端客户连接到断开前的会话。会话目录设置分为效劳器设置和终端效劳器上的设置。在域操纵器中，启动Terminal Services Session Directory效劳。Active Directory用户和计算机中，找到Session Directory Computers用户组，在组中增加terminal1和terminal2，使终端效劳器能够使用Session Directory在终端效劳器terminal1上，选择终端效劳配置效劳器设置会话目录上右键选择属性。选择参加会话目录，在集群名中填入cluster.customer，会话目录效劳器名中填入win2003server。在terminal2终端效劳器进展同样设置。会话目录设置完成将终端效劳器参加session derictory组里面后，在域操纵器上用负载平衡治理器检查是否所有节点是否被激活，里面会看到详细的状态。2.3.5 Session Directory测试：因无法模仿更多的终端客户，只在一台客户终端进展测试。通过模仿有会话目录和无会话目录环境。在无会话目录的环境下，无法做到下面的测试结果。从客户终端登录终端效劳器，选择cluster.domain.local集群地址，看到客户终端首先登录到terminal1终端效劳器。注销此终端效劳，手工连接到terminal2终端效劳器。登录到terminal2终端效劳器后，建测试文档选择断开，然后以cluster.customer.地址登录登录后，自动登录到terminal2终端效劳器，断开前的文档未丧失2.4 RDP客户端配置远程终端的客户机远程连接3 参考材料ThinClientsWhitePaperCN.docTerminalServerWhatsNew.docTerminalServerSizing.docTerminalServerSecurity.docTerminalServerScaling.docTerminalServerPrint.docTerminalServerLockdown.docTerminalServerLicensing.docSessionDirectory.doc