Professional Documents
Culture Documents
Introdução
Do meu ponto de vista, este é sem dúvidas o módulo mais interessante desse curso. A inovação que
nós tivemos no Terminal Services, no Windows Server 2008 foi algo que realmente mereceu um
módulo inteiro. Para quem ainda não o conhece, o Terminal Services nos oferece um conjunto de
tecnologias que permite ao usuário acessar aplicativos baseados no Windows que estão instalados
em um servidor central, chamado de Terminal Server, ou ainda acessar a área de trabalho completa
de um servidor ou estação de trabalho. E o mais interessante, esse acesso pode ser realizado tanto
internamente na rede da empresa, quanto externamente, através da Internet, usando uma conexão
remota do tipo VPN. Imagine uma situação onde você precisa fazer uma viagem para o exterior e
você é administrador de redes de uma empresa de Piracicaba, no estado de São Paulo. Certo dia
ocorre um problema em um servidor e você precisa se conectar remotamente nesse servidor. Isso
será possível devido a existência desse recurso no Windows Server 2008.
No Windows Server 2008, o Terminal Services, ou Serviços de Terminal, foi dividido em uma série
de componentes, ou melhor, funções. Segue abaixo a relação dessas funções, as quais serão mais
detalhadas no decorrer deste módulo:
Terminal Server: essa é a principal função e permite que um servidor possa ter os
aplicativos instalados e compartilhados com os usuários.
TS Web Access: esse é o recurso que permite que os usuários possam acessar aplicativos
ou a área de trabalho de um servidor ou estação de trabalho, através do navegador de
Internet.
TS Gateway: esse é o recurso que nos permite acessar aplicativos existentes no Terminal
Server mesmo quanto não estejamos na rede local da empresa, ou seja, através da Internet.
TS Session Broker (Agente de Sessão TS): esse é o recurso que nos oferece o
balanceamento de cargas entre vários servidores Terminal Servers, que estão em um mesmo
grupo de servidores, ou farm, e também nos permite reconectar em sessões existentes no
Terminal Server.
Outro recurso bem mais simples do que o Terminal Services, mas que tem basicamente o mesmo
conceito, é o Remote Desktop. O Remote Desktop nos permite administrar servidores e estações de
trabalhos remotamente, sem a necessidade de estar fisicamente ao lado do servidor ou estação de
trabalho. É um recurso extremamente útil para os administradores de rede e analistas de suporte,
pois exclui na maioria dos casos, a necessidade de se deslocar para resolução de problemas simples.
Vamos então iniciar esse módulo aprofundando o nosso conhecimento no Remote Desktop. Após
isso entraremos no Terminal Services.
Introdução ao Remote Desktop
Essa tecnologia, além de facilitar o dia-a-dia dos administradores de rede, reduz os custos da
empresa, com o suporte técnico aos usuários da rede. O primeiro custo a ser reduzido é com o
tempo que o administrador perde para se deslocar até uma máquina com o problema, o que
conseqüentemente reduz o tempo total para conclusão do chamado. E isso, como conseqüência, faz
com que os usuários fiquem menos tempo parados e produzam mais, o que significa mais lucro para
as empresas. É possível também reduzir custos com viagens, custos com ferramentas de terceiros, e
assim por diante.
Remote Desktop.
O modo Remote Desktop é o recurso que estamos estudando nesse tópico e o modo Terminal
Services é o modo que veremos mais adiante. O Remote Desktop é desabilitado por padrão e seu
processo de ativação é extremamente simples. Basta acessar as Propriedades do Sistema, escolher a
opção desejada e definir os usuários que terão o acesso remoto. Mais adiante veremos como realizar
essa tarefa. Já o modo Terminal Services é mais complexo. Ele precisa ser instalado e configurado
para que funcione corretamente. Nos próximos tópicos deste módulo aprenderemos a trabalhar com
esse poderoso recurso.
Nota: Ao habilitar o Remote Desktop, será iniciado automaticamente o serviço Terminal Services,
ou Serviços de Terminal. Além disso, será criada uma exceção no Firewall do Windows, a qual
Bom, até aqui tudo bem. Mas como é que eu faço para administrar um servidor ou uma estação de
trabalho remotamente, após ter habilitado o Remote Desktop? Muito bem, para que você possa
acessar um recurso remotamente, seja no modo Remote Desktop ou no modo Terminal Services,
você precisa ter um software cliente instalado em sua máquina. Esse software é o Remote Desktop
Connection (RDC), também conhecido como Conexão de Área de Trabalho Remota, o qual lhe
permitirá acessar o recurso remoto. Caso você seja um administrador de redes e precise administrar
muitos servidores remotamente, você poderá utilizar o console MMC Remote Desktops. Nesse
console você poderá criar e salvar as conexões com os servidores remotos.
Dica: Para iniciar o cliente Remote Desktop Connection, você pode utilizar o comando mstsc. Ao
digitar esse comando e pressionar tecla Enter será exibido o cliente RDC, conforme ilustra a Figura
1.1. Outra forma de abrir esse cliente é navegando pelas opções do menu Iniciar no seguinte
caminho: Iniciar -> Todos os Programas -> Acessórios -> Conexão de Área de Trabalho Remota.
Nota: É importante que fique claro que o modo Remote Desktop não é recomendado para
compartilhamento de algumas aplicações. Algumas das aplicações que podem ser compartilhadas,
como por exemplo o Microsoft Office 2007, precisam de um ambiente e de configurações
específicas que não são oferecidas no modo Remote Desktop. Nesse caso é recomendado que você
utilize o modo Terminal Services.
Quando utilizamos o Remote Desktop nenhum tipo de licença extra é necessário. Em outras
palavras, nenhuma TS CAL é necessária. Lógico que isso tem sua restrições. Apenas 2 sessões
administrativas podem estar ativas simultaneamente. Além disso, é importante ficar atento a duas
restrições:
Caso o administrador do servidor esteja logado localmente, você terá disponível apenas
uma sessão remota, e não duas sessões. Nesse caso temos uma sessão remota e uma local.
Caso o administrador do servidor não esteja logado localmente, aí sim você terá disponível
duas sessões remotas.
Outro detalhe importante é que algumas sessões do Remote Desktop podem rodar no modo Admin.
Isso significa que você poderá interagir com o servidor remotamente, como se estivesse logado
localmente no servidor. Todas as mensagens e eventos que ocorrerem no console do servidor serão
exibidos na sua sessão remota, que está no modo Admin.
Além do modo Admin, que é o modo recomendado para os administradores de rede, é possível
também utilizar as conexões virtuais. Esse tipo de sessão nos permite realizar uma série de tarefas
administrativas, porém com algumas limitações, como por exemplo, não é possível instalar
determinadas aplicações, não é possível realizar tarefas que exijam acesso ao console do servidor e
não é possível visualizar as mensagens e eventos que são exibidas no console do servidor.
Um ponto importante que deve ser levado em conta é a forma como o Remote Desktop será
utilizado, ou seja, você precisa ter uma política de uso do Remote Desktop, para que problemas de
segurança sejam evitados. Por exemplo, imagine que dois administradores estão acessando um
servidor remotamente. Um administrador está removendo e instalando aplicações e outro
administrador está fazendo configurações nos discos do servidor. Problemas sérios poderão ser
causados por este trabalho simultâneo, não sincronizado. Portanto, o uso correto desse recurso é
fundamental.
Sobre a teoria inicial é basicamente isso. Na medida que formos avançando, apresentaremos os
conceitos adicionais envolvidos. Vamos agora para a parte prática, onde veremos como habilitar e
como utilizar o Remote Desktop.
Habilitando o Remote Desktop
Para que o acesso remoto possa ser realizado, inicialmente devemos habilitar o Remote Desktop no
servidor. Posteriormente devemos utilizar o cliente RDC para que a conexão remota seja
estabelecida. No cliente RDC temos uma série de configurações que podem ser realizadas, as quais
veremos posteriormente.
É altamente recomendado que você habilite o Remote Desktop em todos os servidores da sua
empresa, principalmente em casos onde os servidores estão localizados em salas separadas, ou até
mesmo em outras localidades da empresa. Conforme dissemos anteriormente, o processo de
ativação do Remote Desktop é extremamente simples. Para ativá-lo, siga os passos do exemplo
abaixo. Claro que a questão de segurança deve ser levada em conta. Além de habilitar o Desktop
Remoto, é fundamental que você configure quais usuários terão acesso aos servidores, via Desktop
Remote.
Exemplo prático: Para habilitar o Remote Desktop no Windows Server 2008, siga os passos
indicados a seguir:
1. Efetue o logon no Windows Server 2008 com a conta com permissões de Administrador.
4. Na tela que será aberta, no canto esquerdo clique sobre Configurações Remotas. Será
exibida a tela ilustrada pela Figura 17.2.
5. A opção habilitada por padrão é a Não permitir conexões à este computador. Essa opção
define que o Remote Desktop estará desabilitado. Temos ainda mais duas opções:
7. Observe que ao selecionar essa opção, uma tela será exibida nos informando que será criada
uma exceção no Firewall do Windows automaticamente, para que a Área de Trabalho
Remota possa ser utilizada. Essa tela é ilustrada pela Figura 17.3.
Temos ainda três conceitos importantes que não devem ser esquecidos:
As sessões remotas só poderão ser estabelecidas por contas de usuário que possuam uma
senha. Se você tiver contas de usuário que não utilizem senhas, essas contas não poderão
ser utilizadas para criar sessões remotas através do Remote Desktop. Mas como vocês
sabem que usar contas de usuário sem senha é totalmente contra a segurança da informação,
você não terá esse problema.
Permitindo e Restringindo o Acesso Remoto dos Usuários via Remote
Desktop
No exemplo anterior nós habilitamos o Remote Desktop, porém nós não definimos quais usuários
poderão ser conectar remotamente no servidor. Por padrão, os membros do grupo Administradores
poderão acessar o servidor remotamente, usando o recurso do Remote Desktop. Além disso, os
membros dos grupos Usuários da Área de Trabalho Remota também poderão acessar o servidor
remotamente. Um detalhe interessante é que no Windows Server 2008 o grupo Usuários da Área de
Trabalho Remota foi adicionado no Active Directory, o que facilita ainda mais a configuração dos
usuários que poderão realizar o acesso remoto.
Vamos então para um exemplo prático onde nós definiremos que o usuário Fabiano poderá acessar
um servidor remotamente, usando o recurso Remote Desktop.
Exemplo prático: Para liberar o acesso remoto para o usuário Fabiano, siga os passos indicados a
seguir:
1. Efetue o logon no Windows Server 2008 com uma conta com permissão de Administrador.
4. Na tela que será aberta, no canto esquerdo clique sobre Configurações Remotas.
7. Agora selecione a conta de usuário que poderá realizar o acesso remoto via Remote
Desktop e clique em OK. No meu exemplo vou selecionar o usuário Fabiano.
10. Para isso, clique em Iniciar -> Ferramentas Administrativas -> Gerenciamento do
Computador.
11. Expanda as opções Ferramentas do Sistema -> Usuários e grupos locais -> Grupos.
12. Agora clique duas vezes sobre o grupo Usuários da Área de Trabalho Remota.
13. Observe que o usuário que você adicionou em um dos passos anteriores está configurado
como membro desse grupo.
14. Com isso, podemos concluir que existem duas formas de você liberar o acesso remoto para
um usuário, onde ambas as formas realizam o mesmo procedimento, que é adicionar a conta
de usuário no grupo Usuários da Área de Trabalho Remota.
15. Para impedir que um usuário acesse um servidor remotamente, basta remover a conta de
usuário do grupo Usuários da Área de Trabalho Remota.
Temos ainda uma outra configuração que precisa estar habilitada para que os usuários possam
acessar o computador remotamente. É o direito Permitir logon pelos Serviços de Terminal. Essa
configuração, por padrão, define que os membros dos grupos Administradores e Usuários da Área
de Trabalho Remota podem acessar o servidor remotamente. Essa configuração pode ser feita tanto
localmente no servidor quanto nas GPO’s. No Módulo 18 nós veremos todos os detalhes sobre as
GPO’s.
Nota: Nos Controladores de Domínio, apenas o grupo Administradores possui o direito de efetuar o
logon pelos Serviços de Terminal. Portanto, caso seja necessário liberar o acesso remoto para
usuários que não sejam membros do grupo Adminsitradores, você precisará configurar a diretiva
Permitir logon pelos Serviços de Terminal.
Vamos então para um exemplo prático onde nós veremos se as configurações do direito Permitir
logon pelos Serviços de Terminal estão corretas em um servidor local, que não é membro de um
domínio.
Exemplo prático: Para Verificar se o direito Permitir logon pelos Serviços de Terminal está
configurado corretamente, siga os passos indicados a seguir:
1. Efetue o logon no Windows Server 2008 com uma conta com permissão de Administrador.
3. Na tela que será aberta, expanda as opções Diretivas Locais -> Atribuição de direitos de
usuários.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
4. Localize a diretiva Permitir logon pelos Serviços de Terminal. Sua tela deverá estar
conforme ilustra a Figura 17.5.
5. Agora clique duas vezes sobre essa diretiva e certifique-se de que os grupos
Administradores e Usuários da Área de Trabalho Remota estão adicionados.
6. Aqui você pode também adicionar e remover usuários ou grupos. Para isso temos os botões
Adicionar usuário ou grupo e Remover.
7. Nessa mesma tela, se você clicar na guia Explicar, você terá uma explicação detalhada
dessa diretiva. Segue abaixo a explicação:
Configuração de segurança que determina os usuários ou grupos que têm permissão para fazer
logon como cliente de Serviços de Terminal.
Padrão:
Importante
Esta configuração não tem efeito em computadores com Windows 2000 sem a atualização do
Service Pack 2.
Nota: Outra forma de bloquear o acesso remoto de um grupo ou de um usuário através do Remote
Desktop, é adicionando a respectiva conta na diretiva Negar logon pelos Serviços de Terminal, que
está localizada no mesmo caminho da diretiva Permitir logon pelos Serviços de Terminal.
Vamos ver agora algumas configurações avançadas que devem ser feitas no servidor que possui o
Remote Desktop habilitado.
Configurações Avançadas do Recurso Remote Desktop
Além de definir se o recurso Remote Desktop estará habilitado em um servidor e quais usuários e
grupos poderão realizar o acesso remoto, podemos definir também uma série de opções avançadas.
Com essas opções, podemos por exemplo, podemos definir quando as sessões desconectadas serão
encerradas, quais adaptadores de rede aceitarão as conexões RDP, quais recursos locais serão
redirecionados para a sessão do usuário, e assim por diante. Essas configurações são feitas através
da Configuração de Serviços de Terminal, que está localizado nas Ferramentas Administrativas.
Vamos então para um exemplo prático onde veremos como utilizar essa ferramenta e quais opção
temos disponíveis.
Exemplo prático: Para Definir configurações avançadas do recurso Remote Desktop, siga os passos
indicados a seguir:
1. Efetue o logon no Windows Server 2008 com uma conta com permissão de Administrador.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Configuração
de Serviços de Terminal.
3. Será aberto o console Configuração de Serviços de Terminal, conforme ilustra a Figura 17.6
4. No painel central temos a parte de Conexões, que exibe todos os protocolos para acesso
remoto disponíveis. Nesse caso temos apenas o Microsoft RDP 6.1.
5. Logo abaixo temos algumas configurações gerais. As opções disponíveis são as seguintes:
Excluir pastas temporárias ao sair: quando habilitada, essa opção remove todas as pastas
temporárias do servidor relacionadas com a sessão do usuário, quando o usuário efetuar o
logoff. O valor padrão dessa propriedade é habilitado. Para desabilitar essa propriedade
basta clicar duas vezes sobre ela, e na tela que será exibida, desmarque a opção
correspondente e clique em OK.
Usar pastas temporárias por sessão: quando habilitada, essa opção define que cada sessão
terá suas pastas temporárias. O valor padrão dessa propriedade é habilitado. Para desabilitar
essa propriedade basta clicar duas vezes sobre ela, e na tela que será exibida, desmarque a
opção correspondente e clique em OK.
Restringir cada usuário a uma sessão: quando habilitada, essa opção define que um mesmo
usuário poderá ter apenas uma sessão no servidor. O valor padrão dessa propriedade é
habilitado. Para desabilitar essa propriedade basta clicar duas vezes sobre ela, e na tela que
será exibida, desmarque a opção correspondente e clique em OK.
Nota: Quando a função Serviços de Terminal estiver instalado no servidor, algumas outras opções
estarão disponíveis no console de Configuração de Serviços de Terminal, como por exemplo,
configurações do licenciamento e configurações do Agente de Sessão TS.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
6. Agora clique duas vezes sobre RDP-Tcp. Na tela que será aberta, RDP-Tcp Propriedades,
nós fazemos as configurações relacionadas com as conexões dos usuários.
7. Faça as configurações desejadas e clique em OK. Mais adiante, quando entrarmos mais a
fundo nos Serviços de Terminal, voltaremos para essa tela e detalharemos cada uma das
opções disponíveis.
Vamos ver agora como utilizar e como configurar o cliente Remote Desktop Connection, RDC, ou
Conexão de Área de Trabalho Remota.
Configurando o Remote Desktop Connection RDC
O Remote Desktop Connection (RDC), também conhecido como Conexão de Área de Trabalho
Remota, é o cliente que nos permitirá acessar os servidores remotamente. Esse cliente utiliza o
protocolo da Microsoft RDP 6.0 ou superior. Sempre que você precisar se conectar remotamente
com um servidor que possua o Remote Desktop habilitado, você precisará utilizar o cliente Remote
Desktop Connection.
Os sistemas operacionais Windows XP SP2, Windows Server 2003 SP2, Windows Vista e
Windows Server 2008, possuem a versão 6.0 do RDC instalada por padrão. Alguns dos recursos
interessantes disponíveis na versão 6.0 do RDC são as seguintes:
Novas resoluções de vídeo: as resoluções 1680 x 1920, 1920 x 1200, ou superiores, são
suportadas por essa versão do RDC. Para utilizar a resolução de vídeo através da linha de
comando basta utilizar os parâmetros /w e /h. Por exemplo, mstsc /w:1920 /h:1200.
Criptografia dos dados: por padrão, os dados enviados do cliente para o servidor são
criptografados utilizando a chave de criptografia mais forte suportada pelos clientes.
Queda de sessão: caso sua sessão seja interrompida por qualquer motivo enquanto você
esteja executando uma tarefa, o cliente RDC tentará se reconectar com a sessão e o
processamento no servidor continuará até que a tarefa seja concluída com sucesso. Caso
você não consiga se conectar na sua sessão remotamente, poderá acessar essa sessão
efetuando o logon local no servidor e capturar a sessão.
Além disso, é possível também redirecionar para uma sessão uma série de dispositivos locais do
computador de origem, como por exemplo, áudio, drives, impressoras, e assim por diante. É
possível também definir se o som do servidor será redirecionado para o computador que está
realizando a conexão remota, se as combinações de teclas serão executados no computador local ou
no computador remoto, e por aí vai.
Vamos agora para um exemplo prático onde veremos como estabelecer a conexão remota usando o
cliente de conexão com a Área de Trabalho Remota. Nesse exemplo utilizarei dois servidores
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Windows Server 2008. Um chama-se TS01 e o outro TS02. O TS01 será meu servidor de origem e
o TS02 será o servidor de destino, ou seja, o servidor TS02 possui o Remote Desktop habilitado.
Exemplo prático: Para utilizar o Remote Desktop Connection, siga os passos indicados a seguir:
1. Efetue o logon no servidor Windows Server 2008 de origem com uma conta com permissão
de Administrador. No meu caso efetuarei o logon no TS01.
2. Conforme dissemos anteriormente, você pode acessar o RDC através do menu Iniciar ou
através do comando mstsc. Se você simplesmente digitar o comando mstsc e pressionar a
tecla Enter, o RDC será aberto no modo de sessão virtual. Para abrir o RDC no modo
admin, você deverá utilizar o comando mstsc /console ou mstsc /admin.
Nota: O Windows Vista não suporta a opção /admin. Suporta apenas a opção /console. Já o
Windows Server 2008 suporta as duas opções.
3. Clique em Iniciar e na caixa Iniciar Pesquisa digite mstsc /console. Pressione a tecla Enter.
6. Na tela que será exibida, ilustrada pela Figura 17.7, digite o nome do usuário e senha da
conta. Clique em OK.
Vamos agora para outro exemplo prático onde nós veremos como configurar as opções do RDC.
Exemplo prático: Para Configurar o Remote Desktop Connection, siga os passos indicados a
seguir:
1. Efetue o logon no servidor Windows Server 2008 de origem com uma conta com permissão
de Administrador. No meu caso efetuarei o logon no TS01.
2. Conforme dissemos anteriormente, você pode acessar o RDC através do menu Iniciar ou
através do comando mstsc. Se você simplesmente digitar o comando mstsc e pressionar a
tecla Enter, o RDC será aberto no modo de sessão virtual. Para abrir o RDC no modo
admin, você deverá utilizar o comando mstsc /console ou mstsc /admin.
3. Clique em Iniciar e na caixa Iniciar Pesquisa digite mstsc. Pressione a tecla Enter.
5. Clique no botão Opções. Serão exibidas as opções adicionais do RDC. Temos seis guias
disponiveis, conforme ilustra a Figura 17.8. Segue abaixo a descrição de cada uma dessas
guias:
Geral: nessa primeira guia nós definimos o IP ou nome do servidor ao qual a conexão será
efetuada e também a conta de usuário que será utilizada. Além disso é possivel gerar um
arquivo de conexão e utiliza-lo posteriormente. Por exemplo, imagine que você acessar um
servidor remotamente todos os dias. Basta você fazer as configurações desejadas no RDC,
salvar o arquivo e utilizar esse arquivo pronto todas as vezes que você precisar se conectar
nesse mesmo servidor.
Exibição: nessa guia você pode definir a resoluçao da área de trabalho remota e a resolucao
de cores que será utilizada. As configuraçoes padrao são: Tamanho a Área de Trabalho =
Tela Inteira e Cores = Alta Qualidade (32 bits).
Recursos Locais: nessa guia você define se o som do computador remoto será
redirecionado para o computador local, se as teclas de atalho do teclado serão utilizada no
computador local ou no computador remoto e quais dispositivos locais do seu computador
serão redirecionados para a sua sessão remota, de tal forma que você possa utilizar seus
recursos dentro da conexão remota.
Programas: aqui você pode definir que um determinado programa será executado todas as
vezes que uma sessão remota for estabelecida.
Experiencia: nessa guia você define quais recursos estarão habilitados, de acordo com a
velocidade da conexão de rede atual. Basta selecionar a velocidade de rede utilizada para
que as opções sejam habilitadas automaticamente.
Avançado: nessa última guia temos as opções relacionadas com a autenticação no servidor
e com o Gateway TS.
Conhecendo o Console Áreas de Trabalho Remotas
Conforme dissemos anteriormente, temos duas formas de acessar um servidor remotamente. Uma
delas é através do RDC, o qual nós já conhecemos nos tópicos anteriores. A outra forma é através
do console Áreas de Trabalho Remotas, o qual é indicado para administradores de rede que
gerenciam muitos servidores de forma remota.
Para abrir esse console basta digitar o comando tsmmc.msc na caixa Iniciar Pesquisa do menu
Iniciar e pressiona a tecla Enter. Por padrão o console aparecerá em branco, pois nenhuma conexão
foi adicionada.
Para adicionar uma conexão nesse console basta clicar com o botão direito sobre Áreas de Trabalho
Remotas e selecionar a opção Adicionar Nova Conexão. Na tela que será exibida, basta digitar o
nome ou endereço IP do servidor, um nome para a conexão e a conta de usuário e respectiva senha
que será utilizada. Após isso é só clicar em OK. A Figura 17.9 ilustra esse console com algumas
conexões criadas.
Para estabelecer uma conexão basta clicar duas vezes sobre a conexão desejada. No painel da direita
será exibida a conexão ativa com o servidor remoto. E o interessante desse console é que você pode
estabelecer conexões com todos os servidores disponíveis, bastando apenas clicar sobre a conexão
do lado esquerdo do console. Em outras palavras, você consegue administrar todos os servidores
desejados através de um único console.
Após criar uma conexão no console Áreas de Trabalho Remotas você poderá configurar algumas
propriedades para essa conexão. Para isso basta clicar com o botão direito do mouse sobre a
conexão desejada e clicar em Propriedades. Será então aberta a tela de propriedades da conexão,
com a guia Geral selecionada. Nessa guia você tem as mesmas opções gerais da conexão, como
nome, endereço IP ou nome do servidor e conta de usuário que será utilizada.
Na guia Opções de tela, ilustrada pela Figura 17.10, podemos definir o tamanho a área de trabalho
remota. Temos a opção de expandir a área de trabalho de tal forma que se ajuste no painel de direita
do console MMC, ou então podemos definir um dos tamanhos padrão, suportados pelo RDC. E
podemos ainda definir um tamanho customizado.
E na última guia, Outro, podemos definir que um programa será executado automaticamente quando
uma sessão remota for estabelecida. Nessa tela podemos ainda definir se a autenticação irá
confirmar a identidade do computador remoto.
Enfim, esse é um console muito simples, mas que facilita e muito o dia-a-dia dos administradores
de rede. Sabemos que existem no mercado uma série de ferramentas que fazem a mesma coisa que
o console Áreas de Trabalho Remotas faz. Porém, eu particularmente prefiro utilizar o console da
Microsoft, por ser simples, extremamente fácil de configurar e por ser uma ferramenta integrada
com o Windows.
Conhecendo o Gerenciador de Serviços de Terminal
Outra ferramenta importante que você deve conhecer é o Gerenciador de Serviços de Terminal.
Com esse console você pode gerenciar todas as sessões ativas no seu servidor. É possível identificar
o usuário que está conectado no servidor, o tempo da sessão, o horário no qual o usuário efetuou o
logon e assim por diante.
Além de visualizar algumas informações interessantes, você pode também realizar algumas ações,
como por exemplo, enviar uma mensagem para os usuários, desconectar uma sessão, fazer o logoff
de uma sessão, assumir o controle de uma sessão e conectar-se em uma sessão.
Vamos para um exemplo prático onde veremos como utilizar esse console. Nesse exemplo utilizarei
dois servidores Windows Server 2008. Um chama-se TS01 e o outro TS02. O TS01 será meu
servidor de origem e o TS02 será o servidor de destino, ou seja, o servidor TS02 possui o Remote
Desktop habilitado. Portanto, vou me conectar remotamente no servidor TS02 e depois disso vou
logar localmente com outra conta de usuário no TS02 e abrir o console Gerenciador de Serviços de
Terminal.
Exemplo prático: Para utilizar o console Gerenciador de Serviços de Terminal, siga os passos
indicados a seguir:
1. Efetue o logon no servidor Windows Server 2008 de origem com a conta de usuário
Administrador. No meu caso efetuarei o logon no TS01.
2. Clique em Iniciar e na caixa Iniciar Pesquisa digite mstsc. Pressione a tecla Enter.
4. Agora basta digitar o nome ou o endereço IP do servidor e clicar em Conectar. Para nosso
exemplo vou utilizar o IP 192.168.1.4.
5. Na tela que será exibida, digite o nome do usuário e senha da conta. Clique em OK. Para
esse exemplo vou me conectar remotamente no servidor TS02 utilizando a conta de usuário
Fabiano.
8. Após isso clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal ->
Gerenciador de Serviços de Terminal.
Dica: Outra forma de abrir esse console é através do comando tsadmin.msc. Para isso basta digitar
esse comando na caixa Iniciar Pesquisa do menu Iniciar do Windows e pressionar a tecla Enter.
9. Caso seja exibida uma mensagem, clique em OK. Essa mensagem nos informa que algumas
opções estarão indisponíveis pelo fato de estarmos logados no console do servidor.
10. Será então exibido o console do Gerenciador de Serviços de Terminal, conforme ilustra a
Figura 17.11.
11. Observe que nesse console temos dois usuários conectados: o usuário Administrador que
está logado localmente no servidor, e o usuário Fabiano, que está conectado remotamente,
através do protocolo RDP.
12. Clique com o botão direito do mouse sobre a conexão do usuário Fabiano e selecione a
opção Enviar Mensagem.
13. Digite a mensagem desejada na tela que será aberta e clique em OK.
14. Agora volte para o servidor TS01, onde temos a conexão remota do usuário Fabiano e veja
que uma mensagem é exibida na área de trabalho. Clique em OK para fechar a mensagem.
15. Agora volte para o servidor TS02, no console Gerenciador de Serviços de Terminal. Para
desconectar a sessão remota do usuário Fabiano, basta clicar com o botão direito do mouse
sobre a conexão e clicar em Desconectar-se ou em Fazer Logoff.
Outro recurso muito interessante desse console é a possibilidade de criação de grupos. Nesses
grupos você pode adicionar os servidores que possuem o Terminal Services instalado e facilitar a
administração. Por padrão, temos um grupo chamado Meu Grupo. Você pode também criar novos
grupos, mover os servidores para outros grupos e excluir os grupos. Para criar um novo grupo basta
clicar com o botão direito do mouse sobre Gerenciador de Serviços de Terminal e selecionar a
opção Novo Grupo. Na tela que será aberta, basta digitar o nome do grupo e clicar em OK. Para
remover um grupo, basta clicar com o botão direito do mouse sobre o grupo e selecionar a opção
Excluir. Para adicionar um servidor em um grupo, basta clicar com o botão direito do mouse sobre o
grupo e selecionar a opção Adicionar Computador. Na tela que será aberta, localize a conta do
computador e clique em OK.
No exemplo anterior nós vimos que é possível enviar uma mensagem para todos os usuários que
possuem sessões ativas no Terminal Server. Outra forma de enviar as mensagens para os usuários é
através do comando MSG. Segue abaixo a sintaxe desse comando:
Bom, sobre Remote Desktop é isso pessoal. Tenho certeza que passei informações mais do que
suficientes para que vocês possam administrar seus servidores remotamente de uma maneira fácil e
eficaz. Vamos agora avançar um pouco mais no tema Terminal Services, onde veremos como
utilizar o compartilhamento de aplicações. Lembrem-se que até agora nós só vimos como
administrar um servidor remotamente, utilizando o Remote Desktop.
Introdução ao Terminal Services
O Terminal Services permite que os usuários executem aplicações baseadas no Windows a partir de
um servidor remoto. Isso significa que as aplicações não precisam estar instaladas nas 1500 estações
de trabalho da sua empresa. Basta você instalar essa aplicação em um servidor e compartilhar essa
aplicação com os usuários. Por exemplo, imagine que você precisa instalar o Microsoft Office Word
em todas as estações de trabalho da sua empresa. Mesmo que você automatize essa instalação, você
terá um certo trabalho, pois nem todas instalações ocorrerão com sucesso. Uma ou outra apresentará
algum problema, e você perderá um certo tempo para resolver esses problemas. Com o uso do
Terminal Services basta você instalar o Microsoft Office Word no servidor e pronto, seu problema
estará resolvido. Os usuários poderão acessar esse aplicativo remotamente, de uma forma bem
simples e rápida.
exemplo vídeo, teclado e mouse, serão transmitidos através da rede. Isso significa que você não
precisa ter um hardware poderoso e caro nas estações de trabalho. Basta você ter servidores
“parrudos”, com capacidade de hardware adequada as necessidades da sua empresa, que seus
problemas estarão resolvidos. Aqui é importante salientar que quanto mais usuários acessarem as
aplicações no servidor simultaneamente, mais poderoso deverá ser o servidor.
Um detalhe interessante é que cada usuário terá sua sessão específica, ou seja, imagine que temos
15 usuários acessando o Microsoft Office Word no servidor. Cada um desses usuários terá sua
sessão específica, e não poderão acessar as sessões dos outros usuários. Isso significa que ninguém
poderá saber o que o outro usuário esta fazendo no Word.
O Terminal Services existe desde o Windows NT Server 4.0, onde tínhamos uma versão chamada
Terminal Server Edition. A partir do Windows 2000 Server e também no Windows Server 2003 e
2008, o Terminal Server passou a ser integrado com o Windows, onde temos no mínimo o Remote
Desktop disponível. No Windows 2000 Server e Windows Server 2003 o Remote Desktop, que é o
recurso que nos permite administra os servidores remotamente, era chamado de Remote
Administration Mode. Esse recurso também existe no Windows XP e Windows Vista, onde
podemos administrar os computadores remotamente, com algumas limitações.
A grande maioria dos recursos existentes no Terminal Services do Windows Server 2003 ainda
estão presentes na sua versão disponível no Windows Server 2008. Porém, o que impressiona é a
quantidade de novos recursos que foram adicionados no Windows Server 2008. Por exemplo, o
Terminal Services RemoteApp faz com que os aplicativos sejam executados no servidor, porém de
forma transparente para os usuários. É como se a aplicação estivesse instalado na estação de
trabalho do usuário. E caso um mesmo usuário esteja executando mais de um aplicativo no mesmo
Terminal Server, a sessão desse usuário será compartilhada entre esses dois aplicativos, de tal forma
que o usuário tenha apenas uma sessão no servidor.
Um dos métodos de se criar uma RemoteApp, ou seja, uma aplicação que é executada no servidor, é
criar um arquivo .rdp e distribuir esse arquivo para os usuários. Dessa forma, bastará os usuários
clicarem nesse arquivo para ter acesso a aplicação. Apenas o arquivo .rdp estará nas estações de
trabalho. A aplicação propriamente dita estará instalada nos servidores.
Temos ainda outra forma de distribuir as RemoteApps para os usuários, que é através de pacotes
.MSI, ou seja, instaladores. A vantagem desses pacotes é que eles podem ser distribuídos
automaticamente através de Group Policies (conforme descreveremos no Módulo 18) ou através do
System Center Configuration Manager. Além disso, os pacotes MSI podem ser configurados de tal
forma que ícones sejam adicionados na estação de trabalho do usuário e também que os arquivos
tenham suas extensões associadas com os aplicativos RemoteApps. Em outras palavras, se você tem
uma série de arquivos .docx em sua estação de trabalho, porém você não tem o Word 2007 instalado
em sua máquina, mas tem uma RemoteApp configurada, todas as vezes que você clicar duas vezes
nesses arquivos, a RemoteApp será aberta, e conseqüentemente seu arquivo será aberto no Word
2007.
Mas tenho certeza que alguém vai me dizer que não gostou de nenhuma dessas soluções. Ou seja,
você não quer instalar nenhum pacote MSI nas estações de trabalho e também não quer distribuir os
arquivos .rdp. Não se preocupe, pois temos ainda uma outra forma de fazer com que os usuários
acessem suas RemoteApps. Um dos novos recursos disponíveis no Terminal Services do Windows
Server 2008 é o Terminal Services Web Access. Esse recurso nos permite acessar as aplicações
através do navegador de Internet (Internet Explorer). Com isso, basta o usuário acessar um site
específico, clicar na aplicação desejada e pronto. Outro detalhe é que essas aplicações podem ser
acessar tanto internamente, dentro da empresa, quanto externamente, através da Internet.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Outra novidade interessante existente no Windows Server 2008 é o Terminal Server Session
Broker. Esse recurso nos permite fazer o balanceamento de carga entre diversos servidores que
fazem parte de um grupo de servidores, ou melhor, de um farm. Com isso, a medida que novas
sessões forem sendo solicitadas, os usuários serão encaminhados automaticamente para os
servidores que estiverem menos sobrecarregados. Esse recurso permite também que os usuários se
conectem com suas sessões ativas, sem precisar saber em qual servidor a sessão foi criada. E caso
um usuário possua uma sessão ativa e o servidor no qual sua sessão está ativa fique indisponível, a
sessão do usuário será automaticamente encaminhada para outro servidor do farm, fazendo com que
o usuário continue seu trabalho normalmente. Um detalhe interessante é que o Terminal Server
Session Broker define um limite máximo de 16 logons na fila de espera por uma sessão, em um
determinado servidor. Isso ajuda a evitar que os servidores fiquem com filas de esperas
sobrecarregadas.
O Terminal Server Session Broker nos permite também definir pesos para os servidores, o que nos
possibilita balancear ainda mais a carga de trabalho nos servidores. Isso é muito útil em casos onde
você possui alguns servidores novos, com maior poder de processamento e memória, e possui
também servidores mais antigos, com baixo desempenho. Nesses casos você pode definir que os
servidores mais novos poderão ter mais sessões ativas do que os servidores mais antigos.
Com o recurso Terminal Services Easy Print podemos imprimir nossos documentos a partir das
RemoteApps, sem a necessidade de instalar os drivers de impressoras no Terminal Servers. Com
isso, o processo de impressão se torna bem mais simples e rápido. É possível também determinar o
número de impressoras dos usuários que poderão ser utilizadas nas RemoteApps.
Nota: Já me adiantando um pouquinho, para que o Terminal Services Easy Print possa ser utilizado,
os usuários deverão possuir o Remote Desktop Connection na versão 6.1 e o .NET Framework 3.0
SP1 deve estar instalado na estação de trabalho.
Anteriormente nós dissemos que é possível acessar aplicações no Terminal Services através da
Internet. Mas com certeza você deve ter questionado como é que fica a segurança da informação.
Bom, o Terminal Services faz sim a sua parte. Com o TS Gateway, todo o tráfego de rede é
transmitido através do protocolo HTTPS, o que faz com que as informações estejam seguras e
criptografadas enquanto estiverem em trânsito. Em outras palavras, não é necessário criar VPNs
para que os usuários acessem as aplicações remotamente de forma segura. Através do console de
gerenciamento do TS Gateway você pode criar as políticas e definir as condições necessárias para
que os usuários possam acessar as aplicações através da Internet.
Vamos agora conhecer alguns conceitos básicos sobre o Terminal Services, para que possamos
aproveitar melhor esse módulo.
Conceitos Importantes do Terminal Services
O Terminal Services do Windows Server 2008 com certeza veio para ficar. A evolução que esse
produto vem apresentando no decorrer dos anos é muito interessante, principalmente no quesito
redução de custos. Hoje, mais do que nunca, se fala muito em redução de custos, que na verdade
não é deixar de investir, muito pelo contrário. Muitas vezes, redução de custos significa
investimentos de milhões de reais em produtos que vão agregar valor para empresa, automatizar
tarefas e conseqüentemente reduzir custos. Com o Terminal Services, que é um produto integrado
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
com o Windows Server 2008, você com certeza terá uma grande redução de custos em vários
aspectos. Já citamos anteriormente que você não precisa ter estações de trabalho com hardware de
alto nível. Outra vantagem é que você não precisa instalar aplicações em todas as estações de
trabalho da sua empresa, o que diminui drasticamente o tempo com resolução de problemas. Além
disso, você garante que todos os usuários estarão utilizando as mesmas versões dos aplicativos, o
que elimina problemas de incompatibilidade de arquivos. E assim por diante.
Do nosso ponto de vista, esse é o principal conceito que está envolvido com o uso do Terminal
Services. No decorrer deste módulo vamos apresentar para vocês todas as novidades desse recurso e
quero que vocês tirem suas próprias conclusões. Se o produto não atender as necessidades da sua
empresa, não implemente.
Vamos agora para alguns conceitos técnicos importantes. Os três primeiros conceitos que
abordaremos são:
Clientes do Terminal Services
Nos tópicos anteriores nós já apresentamos todos os detalhes do cliente utilizado para administrar
servidores remotamente. É o Remote Desktop Connection (RDC), o qual já vem instalado por
padrão no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008, e também
está disponível para download no site da Microsoft.
Com a utilização do RDC somente dados relacionados com alguns dispositivos são enviados dos
clientes para o servidor, como por exemplo dados do teclado, mouse e vídeo. Isso significa que o
tráfego de rede é muito pequeno, o que nos possibilita implementar o Terminal Services em redes
que não possuam uma largura de banda muito alta. Não sei se vocês se lembram, mas quando eu
apresentei o RDC mostrei para vocês uma configuração que nos permite definir quais recursos
estarão disponíveis na conexão, baseado na largura de banda da rede. Esse é mais um item
importante para a economia da largura de banda da rede. Quanto maior a largura de banda, mais
recursos poderão ser utilizados.
Para o acesso de aplicações remotas no Terminal Server temos uma série de novas opções no
Windows Server 2008. Segue abaixo a relação dessas opções:
Terminal Services Gateway (TS Gateway): esse é o recurso que nos permite acessar as
aplicações remotamente, através da Internet. Lembrando que as conexões são seguradas,
utilizando o RDP sobre HTTPS. O detalhe interessante em utilizar o HTTPS é que o tráfego
pode passar por Firewalls e dispositivos que fazem o NAT.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
TS Web Access: esse é o recurso que nos permite acessar aplicações do tipo RemoteApp
através do navegador de Internet. O TS Web Access precisa do IIS 7.0 para funcionar.
Servidores do Terminal Services
Os servidores do Terminal Services são nada mais do que os servidores que possuem a função
Terminal Services instalada. O processo de instalação e configuração do Terminal Server é bem
simples. Porém é importante que você, antes de instalar esse serviço, faça um estudo das
necessidades da empresa e tenha um projeto de implementação. A definição da infra-estrutura não é
algo simples e demanda tempo, estudo e conhecimento.
TS Gateway Manager: esse console nos permite configurar as políticas de autorização que
controlarão o acesso remoto aos recursos da rede da empresa. Você pode definir quem
poderá acessar os servidores TS Gateway através das Terminal Services Connection
Authorization Policy (TS CAP) e também quais recursos internos poderão ser acessados
através do TS Gateway, utilizando a Terminal Services Resource Authorization Policy (TS
RAP).
TS Web Access Administration: esse console nos permite acessar os servidores IIS que
armazenam as aplicações Web. Nesse console você pode visualizar a lista de RemoteApps
disponíveis e também realizar conexões remotas, caso tenha acesso.
Todos esses consoles estão disponíveis para acesso nas Ferramentas Administrativas, no seguinte
caminho: Iniciar -> Ferramentas Administrativas -> Serviços de Terminal. Por padrão, temos
apenas três ferramentas nesse caminho: Áreas de Trabalho Remota, Configuração de Serviços de
Terminal e Gerenciador de Serviços de Terminal.
O Terminal Services no Windows Server 2008 também teve algumas melhorias relacionadas com a
segurança. Para o acesso interno, você tem a opção de adicionar os usuários ao grupo Usuários da
Área de Trabalho Remota. Com isso, todos os membros desse grupo poderão estabelecer conexões
com os Terminal Servers. Se você quiser, por exemplo, liberar o acesso via Terminal Services para
todos os usuários que estiverem autenticados no domínio da empresa, basta você configurar o grupo
Usuários do Domínio como membro do grupo Usuários da Área de Trabalho Remota
Já para o acesso baseado em Internet ou Intranet, você pode utilizar o TS Gateway para definir
quais grupos de usuários poderão acessar o Terminal Services utilizando o RDP sobre HTTPS. O
Terminal Services não oferece um grupo padrão para essa configuração, portanto, você mesmo deve
criar os grupos e definir as estratégias que serão utilizadas. Nos primeiros módulos deste curso nós
falamos muito a palavra planejamento. Durante a implementação Terminal Services também é
muito importante que você tenha um planejamento, para que sua implementação não seja um
fracasso. Como dica, crie grupos com nomes intuitivos. Por exemplo, você poderia utilizar um
grupo chamado TSUsuariosExternos, e adicionar nesse grupo todos os usuários que poderão acessar
o Terminal Services através do TS Gateway.
Ainda com relação à segurança, o Terminal Services suporta a criptografia de 128 bits compatível
com o FIPS (Federal Information Processing Standard). Usando essa criptografia de 128 bits temos
um alto nível de proteção dos dados enquanto estão em tráfego entre o cliente e o servidor, além de
estamos em conformidade com o FIPS 140-1 e FIPS 140-2, que são padrões de requisitos de
segurança, os quais são muito exigidos hoje no mercado.
Vamos agora para outro conceito muito importante relacionado com o licenciamento do Terminal
Services.
Licenciamento do Terminal Services
Um servidor de licenciamento do Terminal Services deve estar disponível na sua rede para que você
possa validar as licenças do Terminal Services. Esse servidor é responsável por distribuir as licenças
e mapear o seu uso, mantendo assim um conjunto de licenças disponíveis para uso. O Terminal
Services exige que você possua licenças legais da Microsoft e as ative através do Microsoft
Clearinghouse. Na Figura 17.12 temos uma estrutura de licenças do Terminal Services no Windows
Server 2008.
Figura 17.12 – Estrutura do Terminal Services com o Terminal Services Licensing implementado
1. Na primeira vez que um cliente se conecta com o Terminal Server, o servidor verificar se o
cliente possui uma licença.
2. Caso o cliente já possua a licença, o servidor valida a licença e permite que o cliente realize
a conexão.
3. Caso o cliente não possua uma licença, o Terminal Server entre em contato com o Terminal
Server Licensing e solicita uma nova licença.
4. Caso o Terminal Server Licensing não possua uma licença disponível, o cliente não poderá
realizar sua conexão com o Terminal Server.
5. Caso o Terminal Server Licensing possua uma licença, a licença será enviada para o
Terminal Server, o qual por sua vez a entregará para o cliente, permitindo assim seu acesso.
Nota: Após a implementação do Terminal Services, você terá 120 dia para implementar um
Terminal Services Licensing. Durante esse período, licenças temporárias serão utilizadas pelos
clientes. Após esse período, o Terminal Services deixará de atender as solicitações dos clientes.
Per-user (Por usuário): esse tipo de licença é valida somente para um usuário específico e
será validada futuramente através do GUID da conta de usuário.
Per-device (Por dispositivo): esse tipo de licença é valida somente para um computador
específico e será validada futuramente através do GUID do computador.
Nota: As licenças de acesso do Terminal Services não estão disponíveis no modo per-server, pois
as sessões do Windows não são permitidas nesse modo.
Outro detalhe interessante é que as licenças emitidas para os clientes possuem uma validade de 52
até 89 dias, e essa validade é randômica. Quando os clientes desconectam suas sessões ou efetuam o
logoff do Terminal Server, as licenças atribuídas aos clientes não retornam para o Terminal Services
Licensing. Todas as vezes que os clientes se reconectarem com o Terminal Server, a validade das
licenças será verificada e as renovações começarão a ocorrer a partir do momento que faltar 7 dias
para vencerem. E caso um cliente não se conecte com o Terminal Services por um logo período de
tempo e sua licença expire, essa licença voltará a ficar disponível para outros clientes.
Você pode também realocar as licenças de um usuário para outro ou de um dispositivo para outro,
porém, com algumas limitações. As licenças devem ser permanentemente realocadas para outro
dispositivo ou usuário, ou podem ser temporariamente realocadas para outros dispositivos ou
usuários. Isso é muito útil em casos onde um funcionário está em férias. Nesse caso, você poderá
alocar sua licença temporariamente para outro usuário que está trabalhando.
Nota: Todos os usuários que desejarem se conectar com o Terminal Server de forma remota
deverão possuir uma licença valida. Isso se aplica para os seguintes tipos de conexões: utilizando o
RDP, RDP sobre HTTPS ou qualquer outro protocolo de terceiro.
Vamos ver agora alguns requisitos de hardware para a utilização do Terminal Services e também
algumas dicas.
Requisitos de Hardware do Terminal Services
Não é nada fácil a tarefa de definir os requisitos de hardware para um Terminal Server. O serviço
em si é instalado no Windows Server 2008, e não requer espaço em disco adicional. Porém, os
requisitos reais serão definidos individualmente, para cada servidor, de acordo com as aplicações
que estarão publicadas, de acordo com a quantidade de usuários que utilização as aplicações e de
acordo com as necessidades dos usuários.
Aqui é importante citar que um limitador dessa arquitetura de 64 bits para o Terminal Services pode
ser o subsistema de discos. Quando um servidor possui centenas de usuários conectados
simultaneamente, as atividades em disco são extremamente altas. Portanto, é fundamental também
que você tenha um sistema de discos extremamente eficaz.
Rede: o tráfego de rede gerado pelo acesso dos clientes ao Terminal Server não é um fator
preocupante. O tráfego de rede depende basicamente do tipo de acesso que será realizado e
da resolução de vídeo que será utilizada. Em outras palavras, se você utilizar uma resolução
de 800 x 600 e seu amigo utilizar a resolução 1600 x 1200, a conexão do seu amigo gastará
um pouco mais de largura de banda do que você. Em média, a largura de banda utilizada é
de 5 Kbps. Aqui é importante lembrar que o cliente do Remote Desktop nos permite
configurar qual recurso estará disponível na conexão, de acordo com a largura de banda da
rede disponível.
Enfim, essa é uma etapa complexa que exige bastante estudo e planejamento. Algumas perguntas
fundamentais que você deve responder durante o planejamento são as seguintes:
Qual o perfil desses usuários? Eles executam atividades rotineiras, básicas, ou são usuários
mais avançados, que exigirão mais recursos do servidor?
Bom, de teoria já está bom né? Vamos então para a parte prática. Nos próximos tópicos nós
aprenderemos a instalar os componentes do Terminal Services e configurá-los.
Instalando os Componentes do Terminal Services
Caso sua necessidade seja apenas a administração remota dos servidores, não é necessário instalar
nada, pois como já dissemos anteriormente, essa funcionalidade já está instalada por padrão no
Windows Server 2008. Basta apenas habilitá-la e definir quais usuários poderão acessar o Terminal
Server através do RDC. Agora se sua necessidade é realizar a publicação de aplicações no Terminal
Server, aí sim você terá que instalar os componentes necessários.
Vamos então para um exemplo prático onde veremos como instalar esses componentes do Terminal
Services. Para esse exemplo vou utilizar um servidor chamado TS02, o qual possui o Windows
Server 2008 Enterprise instalado e é membro do domínio fabianosantana.com.br.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Exemplo prático: Para Instalar o Terminal Services no Windows Server 2008, siga os passos
indicados a seguir:
1. Efetue o logon no servidor TS02 com a conta de usuário Administrador. Troque TS02 pelo
nome do servidor que você está utilizando.
2. Caso o Gerenciador de Servidores não seja aberto automaticamente, clique em Iniciar ->
Ferramentas Administrativas -> Gerenciador de Servidores.
5. Será aberto o Assistente de Adicionar Funções. A primeira tela é apenas informativa, clique
em Próximo.
6. Após isso serão exibidas todas as funções disponíveis para instalação. Selecione a opção
Serviços de Terminal e clique em Próximo.
7. Mais uma vez será exibida uma tela informativa, com uma introdução ao Terminal
Services. Clique em Próximo.
8. Agora serão exibidas todos os serviços de função disponíveis, que são: Terminal Server,
Licenciamento TS, Agente de Sessão TS, Gateway TS e TS Web Access. Essa tela é
ilustrada pela Figura 17.13.
9. Selecione as opções Terminal Server e TS Web Access. Mais adiante nós veremos como
instalar os demais recursos do Terminal Services. Perceba que ao selecionar a opção TS
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Web Access, será aberta uma tela para que você adicione os serviços de função necessários.
Nesse caso, o TS Web Access precisa do Servidor Web (IIS 7.0) para que funcione
corretamente. Clique em Adicionar Serviços de Função Necessários e clique em Próximo.
10. Agora será exibida outra tela informativa, lhe alertando que é recomendado instalar o
Terminal Services antes da instalação dos aplicativos. Clique em Próximo.
11. Agora você deve selecionar o tipo de autenticação que será utilizada pelo Terminal Server.
Caso a sua rede possua estações de trabalho que rodam sistemas operacionais anteriores ao
Windows XP SP2, selecione a opção Não exigir autenticação em nível de rede. Caso sua
rede possua apenas estações de trabalho com o Windows XP SP2 ou superior, selecione a
opção Exigir autenticação em nível de rede. Essa opção é a mais segura. Para maiores
informações sobre a autenticação em nível de rede, clique no link que está no final dessa
tela. Para nosso exemplo, vou selecionar a opção Exigir autenticação em nível de rede.
Clique em Próximo.
12. Na próxima tela você deverá selecionar o modo de licenciamento do Terminal Services.
Nós temos as opções Por Dispositivo e Por Usuário. O licenciamento por dispositivo define
que todos os dispositivos que se conectarem com o Terminal Server deverão possuir uma
licença de acesso para cliente. O licenciamento por usuário define que todos os usuários que
ser conectarem com o Terminal Server deverão possuir uma licença de acesso para cliente.
Caso você queira definir depois essa configuração, selecione a opção Configurar mais tarde.
Lembrando que se você selecionar essa última opção, você terá até 120 dias para definir o
modo de licenciamento. Após isso, o Terminal Server deixará de atender as solicitações dos
clientes. Para nosso exemplo, vamos selecionar a opção Configurar mais tarde e clicar em
Próximo.
13. Agora devemos definir quais grupos e usuários terão acesso ao Terminal Server. Por
padrão, o grupo Administradores terá acesso e não poderá ter seu acesso bloqueado. Vamos
manter as opções padrão e clicar em Próximo.
14. Na próxima tela será exibido um texto informativo sobre o IIS 7.0. Leia as informações e
clique em Próximo. Após isso será exibida uma tela com todos os serviços de função
disponíveis para o IIS 7.0. Mantenha as opções padrão e clique em Próximo.
15. Na última tela temos um resumo com todos os serviços de função que serão instalados no
servidor. Verifique se está tudo correto e clique em Instalar.
17. Após a instalação ser concluída, observe que o assistente lhe informará que é necessário
reiniciar o servidor. Clique em Fechar e em Sim, para que o servidor seja reiniciado.
18. Após o servidor ser reiniciado, efetue o logon novamente com a conta de usuário
Administrador. Observe que o Assistente de Configuração será aberto automaticamente e a
instalação será concluída. Clique em Fechar.
Pronto, instalação concluída. Observe que imediatamente será exibido um alerta na área de
notificação do Windows, informando que o modo de licenciamento do Terminal Services não está
configurado. Ou seja, é necessário configurar o Terminal Services Licensing para que esse alerta
pare de ser exibido.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Após a instalação dos componentes acima, você poderá instalar um outro componente que
aperfeiçoará a experiência dos usuários quando eles estiverem com sessões ativas no Terminal
Server. Por exemplo, por padrão as sessões dos usuários não terão som habilitado e a resolução de
vídeo poderá ter no máximo 16 bits. Para permitir que as sessões ofereçam mais recursos para os
usuários, você deverá instalar o recurso Experiência Desktop. Para isso, siga os passos do exemplo
abaixo.
Nota: Aqui é importante salientar que quantos mais recursos estiverem disponíveis para os usuários
em suas sessões, mais recursos de hardware do servidor Terminal Server serão utilizados.
Exemplo prático: Para disponibilizar mais recursos para os usuários do Terminal Services, siga os
passos indicados a seguir:
1. Efetue o logon no servidor TS02 com a conta de usuário Administrador. Troque TS02 pelo
nome do servidor que você está utilizando.
2. Caso o Gerenciador de Servidores não seja aberto automaticamente, clique em Iniciar ->
Ferramentas Administrativas -> Gerenciador de Servidores.
5. Será aberto o Assistente de Adicionar Funções. A primeira tela é apenas informativa, clique
em Próximo.
8. Após a instalação ser concluída, observe que o assistente lhe informará que será necessário
reiniciar o servidor. Clique em Fechar e em Sim, para que o servidor seja reiniciado.
9. Após o servidor ser reiniciado, efetue o logon novamente com a conta de usuário
Administrador. Observe que o Assistente de Configuração será aberto automaticamente e a
instalação será concluída. Clique em Fechar.
Exemplo prático: Para habilitar itens do recurso Experiência Desktop, siga os passos indicados a
seguir:
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Configuração
de Serviços de Terminal.
3. No console que será aberto, na sessão Conexões, clique duas vezes sobre RDP-Tcp. Ou
então, clique com o botão direito do mouse sobre RDP-Tcp e selecione Propriedades.
4. Na tela que será aberta, clique na guia Configurações do Cliente. Nessa guia, ilustrada pela
Figura 17.15, você poderá então configurar a intensidade de cor que poderá será utilizada
nas sessões dos usuários, bastando apenas selecionar a opção desejada na sessão
Intensidade de Cor. É possível ainda habilitar o áudio nas sessões dos usuários, bastando
apenas desmarcar a caixa Áudio, na sessão Desabilitar. Observe que nessa sessão você
precisa deixar as caixas em branco para que o recurso esteja habilitado.
5. Para nosso exemplo, vamos selecionar a intensidade de cor 32 bits e desmarcar a caixa
Áudio, para que esse recurso fique habilitado. Clique em OK. Caso exista sessões ativas no
servidor, será exibida uma mensagem informando que as configurações atuais não serão
aplicadas nessas sessões ativas, somente em novas sessões.
6. Outro detalhe importante é que por padrão o serviço de áudio no Windows Server 2008 fica
desabilitado. Portanto, é necessário habilitá-lo para que esse recurso funcione nas sessões
dos usuários. Para isso, clique em Iniciar -> Ferramentas Administrativas -> Serviços.
7. Localize o serviço Áudio do Windows e clique duas vezes sobre esse serviço. Na caixa
Tipo de Inicialização selecione a opção Automático e clique em Iniciar.
9. Pronto, a partir de agora o recurso de áudio já estará disponível nas sessões dos usuários.
Após você instalar os recursos do Terminal Services e fazer as configurações básicas desejadas, é
hora de instalar as aplicações que serão disponibilizadas para os usuários. Mas isso é assunto para o
nosso próximo tópico.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Instalando as Aplicações no Terminal Server
Se você tiver apenas o Remote Desktop habilitado no seu servidor, o processo de instalação de
aplicações é extremamente simples, e idêntico ao processo comum de instalação de uma aplicação.
Porém, se você precisar instalar aplicações no Terminal Server configurado com o modo de
aplicação, ou seja, no modo onde muitos usuários acessarão uma mesma aplicação
simultaneamente, você precisará tomar alguns cuidados. Quando você ativa o modo de aplicação no
Terminal Server, o Windows Server 2008 automaticamente saberá que ele deverá ser preparado
para que muitos usuários possam acessar as aplicações simultaneamente, e de forma que essas
aplicações rodem em espaços de memória separados e sem gerar conflitos. Muitas aplicações são
certificadas para funcionar corretamente com o Terminal Services, porém outras aplicações não
possuem essa certificaçao. Para essas aplicações que não possuem o certificado de compatibilidade
com o Terminal Services, existem alguns scripts de compatibilidade que podem ser utilizados.
Porém, esses scripts devem ser utilizados com muito cuidado, e sempre é importante você ler a
documentação das aplicações.
Quando o Windows Server 2008 está configurado como um servidor de aplicações Terminal Server,
existem dois modos de operação: Modo de Instalação (Install Mode) e Modo de Execução (Execute
Mode). Quando você for instalar uma aplicação que não seja certificada pela Microsoft para
utilização com o Terminal Services, você deverá estar no modo de instalação para que essa
aplicação possa ser instalada. Caso contrário, a instalação não será realizada corretamente, e você
poderá ter sérios problemas. Sempre que um usuário se conectar com o Terminal Server, através de
uma sessão virtual, o modo utilizado será o modo de execução.
Em muitos casos o Windows Server 2008 consegue identificar o tipo de instalação que você está
executando e configura o modo correto automaticamente. Porém, se você estiver instalando uma
aplicação muito antiga que não seja certificada para o uso com o Terminal Services, mude
manualmente o servidor para o modo de instalação. O comando utilizado para alterar esses modos é
o Change.
O comando Change existe desde a versão NT 4 Terminal Server Edition do Windows, e também
está disponível no Windows Server 2008. Segue abaixo os parâmetros mais utilizados do comando
Change:
Change User: esse comando é utilizado para alternar os modos do Terminal Services. As
opções mais utilizadas são:
Query: esse parâmetro é utilizado para exibir o modo atual do Terminal Services.
Change Logon: esse comando é utilizado para habilitar e desabilitar a criação de novas
sessões com o Terminal Server. As opções mais utilizadas são as seguintes:
/Enable: esse parâmetro permite que os usuários criem novas sessões com o
Terminal Server.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
/Disable: esse parâmetro não permite que os usuários criem novas sessões com o
Terminal Server. As sessões ativas não serão afetadas.
/Drain: esse parâmetro permite que as sessões ativas possam ser restabelecidas,
caso sejam desconectadas. Porém, novas sessões não serão permitidas.
/Query: esse parâmetro exibe o status atual do logon via Terminal Services.
Para instalar aplicações utilizando o comando Change, siga os passos do exemplo abaixo.
Exemplo prático: Para instalar aplicações através do comando Change, siga os passos indicados a
seguir:
1. Efetue o logon com uma conta com permissão de Administrador no Terminal Server.
2. Abra o prompt de comandos, que está localizado em Iniciar -> Todos os Programas ->
Acessórios -> Prompt de Comando.
3. Desabilite as novas sessões no Terminal Server através do comando change logon /disable.
4. Agora verifique se existem sessões ativas no Terminal Server. Para isso utilize o comando
query session.
5. Caso existam sessões ativas, envie uma mensagem para os usuários solicitando que
encerrem suas sessões. Você pode utilizar o comando msg * “Mensagem”. Com isso, uma
mensagem será enviada para todos os usuários.
6. Após ter certeza de que as sessões foram encerradas, mude para o modo de instalação. Para
isso, use o comando change user /install.
8. Após a instalação ser concluída, volte para o modo de execução, utilizando o comando
change user /execute.
9. E por último, habilite o logon via Terminal Services através do comando change logon
/enable.
Vamos agora conhecer algumas ferramentas de administração do Terminal Services. Quando nós
falamos sobre Remote Desktop, nós apresentamos dois consoles: Gerenciador de Serviços de
Terminal e Configuração de Serviços de Terminal. Não vou falar novamente sobre o Gerenciador
de Serviços de Terminal, pois nós já conhecemos bastante essa ferramenta. Vou apenas me
aprofundar no console Configuração de Serviços de Terminal. Além disso, veremos também os
demais consoles disponíveis. Na medida que eu for apresentando os novos consoles, mostrarei
também como utilizá-los e até mesmo como instalá-lo, como é o caso do Licenciamento TS, Agente
de Sessão TS e Gateway TS.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Trabalhando com o Console Configuração de Serviços de Terminal –
Terminal Services Configuration
Através desse console podemos alterar as configurações para todas as conexões com o Terminal
Server. Para abrir esse console clique em Iniciar -> Ferramentas Administrativas -> Serviços de
Terminal -> Configuração de Serviços de Terminal. Ao abrir esse console já teremos uma visão
geral das seguintes configurações:
Excluir pastas temporárias ao sair: quando habilitada, essa opção remove todas as pastas
temporárias do servidor relacionadas com a sessão do usuário, quando o usuário efetuar o
logoff. O valor padrão dessa propriedade é habilitado. Para desabilitar essa propriedade
basta clicar duas vezes sobre ela, e na tela que será exibida, desmarque a opção
correspondente e clique em OK.
Usar pastas temporárias por sessão: quando habilitada, essa opção define que cada sessão
terá suas pastas temporárias. O valor padrão dessa propriedade é habilitado. Para desabilitar
essa propriedade basta clicar duas vezes sobre ela, e na tela que será exibida, desmarque a
opção correspondente e clique em OK.
Restringir cada usuário a uma sessão: quando habilitada, essa opção define que um
mesmo usuário poderá ter apenas uma sessão no servidor. O valor padrão dessa propriedade
é habilitado. Para desabilitar essa propriedade basta clicar duas vezes sobre ela, e na tela
que será exibida, desmarque a opção correspondente e clique em OK.
Modo de logon de usuário: aqui nós podemos definir o modo de licenciamento que será
utilizado pelo Terminal Services: por usuário ou por dispositivo. Para alterar essa
configuração basta clicar duas vezes sobre essa opção, selecionar o modo de licenciamento
desejado e clicar em OK.
Membro do farm no Agente de Sessão TS: essa configuração está disponível apenas no
Windows Server 2008 Enterprise e Datacenter Edition, e está desabilitada por padrão. Essa
opção permite que o Agente de Sessão gerencie as sessões em um cluster.
Para fazer as configurações no RDP, basta clicar duas vezes sobre RDP-Tcp. Será aberta a tela de
propriedades do protocolo. Nessa tela você tem muitas opções. Algumas dessas opções são
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
definidas no próprio cliente, e caso seja necessário, você poderá configurar o servidor de tal forma
que as configurações dos clientes sejam sobrescritas. Vamos agora detalhar cada uma dessas
opções.
Na aba Geral, que é a aba exibida por padrão, temos as seguintes opções, conforme ilustra a Figura
17.16:
Camada de Segurança: aqui é definida a camada de segurança que será utilizada nas
conexões. As opções disponíveis são Camada de Segurança RDP, Negociar e SSL (TLS
1.0). Ao selecionar a opção Camada de Segurança RDP, será utilizada a criptografia do
RDP entre o cliente e o servidor. Ao selecionar a opção Negociar, o nível de segurança
máximo suportado pelo cliente será utilizado. E a opção SSL define que o protocolo SSL
será utilizado na autenticação do servidor e na criptografia entre o cliente e o servidor.
Nível de Criptografia: aqui definimos o nível de criptografia que será utilizado nas
conexões. A opção Baixo define que os dados enviados do cliente para o servidor estarão
protegidos por criptografia com base na restrição máxima de chave à qual o cliente oferece
suporte. A opção Compatível com Cliente define que todos os dados enviados entre o
cliente e servidor estarão protegidos por criptografia com base na restrição máxima de
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
chave à qual o cliente oferece suporte. A opção Alto define que todos os dados enviados
entre o cliente e servidor estarão protegidos por criptografia com base na restrição máxima
de chave do servidor. Os clientes que não oferecerem suporte a esse tipo de criptografia não
poderão estabelecer a conexão. E a opção Compatível com FIPS define que os dados serão
protegidos em ambas as direções, utilizando o algoritmo de criptografia FIPS.
Clique na aba Configurações de Logon. Nessa aba temos as seguintes opções, conforme ilustra a
Figura 17.17:
Usar informações de logon fornecidas pelo cliente: ao selecionar essa opção, o logon será
realizado com a conta de usuário especificada pelo próprio usuário. É o método mais
utilizado pelas empresas.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Sempre pedir senha: no cliente da Conexão da Área de Trabalho Remota, nós temos uma
opção chamada Permitir salvar minhas credencias. Essa opção nos permite armazenar as
senhas no próprio cliente de tal forma que não seja necessário digitar a senha da conta de
usuário todas as vezes que formos estabelecer uma conexão com o Terminal Server. Porém,
esse recurso é controlado através a opção Sempre pedir senha, que está localizada no
Terminal Server. Se essa opção estiver habilitada, esse recurso do cliente da Conexão da
Área de Trabalho Remota não funcionará. Uma dica importante é sempre deixar essa opção
habilitada nos Controladores de Domínio.
Clique na aba Sessões. Nessa aba temos as seguintes opções, conforme ilustra a Figura 17.18:
conexão continuarão sendo executados. Porém, com a diferença que os dados de entrada e
saída não serão mais transmitidos para a estação de trabalho. Portanto, desconectar uma
sessão não libera recursos do servidor. Habilitando essa configuração, nós podemos definir
a partir de qual momento as sessões desconectadas serão encerradas.
Substituir configurações do usuário – Limite da sessão ativa: caso essa opção esteja
habilitada, as configurações do cliente serão substituídas pelas configurações aqui
definidas. Uma sessão ativa é uma sessão que está em uso pelos clientes. Ao habilitar essa
opção você poderá definir um tempo limite para as sessões. Por exemplo, posso definir que
no meu servidor TS02 os usuários poderão ter sessões de no máximo 5 horas. Após esse
período, as sessões serão encerradas.
Substituir configurações do usuário – Limite de sessão ociosa: caso essa opção esteja
habilitada, as configurações do cliente serão substituídas pelas configurações aqui
definidas. Uma sessão ociosa é uma sessão que deixou de ser utilizada por alguns minutos.
Ao selecionar essa opção podemos definir um tempo a partir do qual as sessões ociosas
serão desconectadas.
Substituir configurações do usuário – Encerar sessão: caso essa opção esteja habilitada,
as configurações do cliente serão substituídas pelas configurações aqui definidas. Ao
habilitar essa opção, definimos que quando o limite da sessão for atingido ou a conexão for
interrompida, a sessão será encerrada.
Clique na aba Ambiente. Nessa aba temos as seguintes opções, conforme ilustra a Figura 17.19:
Não permitir que um programa inicial seja iniciado: sempre mostrar a área de trabalho:
essa opção define que nenhum programa poderá ser executado automaticamente quando as
sessões forem estabelecidas com o Terminal Server. Ao invés disso, a área de trabalho será
exibida para os usuários.
Iniciar o seguinte programa quando o usuário fizer logon: essa opção define que um
programa específico será executado automaticamente quando todas as sessões forem
estabelecidas com o Terminal Server.
Clique na aba Controle Remoto. Nessa aba temos as seguintes opções, conforme ilustra a Figura
17.20:
Usar controle remoto com as configurações padrão do usuário: essa opção define que as
configurações definidas nas propriedades das contas dos usuários serão utilizadas. O
controle remoto é um recurso que nos permite acessar as sessões de outros usuários.
Nota: Aqui é importante relembrar que nas propriedades das contas de usuários temos uma série de
configurações relacionadas com o Terminal Services. Para habilitar essas configurações, abra o
console Usuários e Computadores do Active Directory, localize a conta de usuário desejada, clique
com o botão direito sobre essa conta de usuário e selecione Propriedades. Na tela que será aberta
clique na aba Sessões. Nessa aba temos uma série de configurações relacionadas com as sessões no
Terminal Services, como por exemplo, quando uma sessão desconectada será encerrada, o tempo
limite de uma sessão ativa, o tempo limite de uma sessão ociosa, e assim por diante. Temos também
algumas configurações nas abas Ambiente e Controle Remoto. Resumindo, você pode fazer as
configurações nas propriedades das contas dos usuários ou através do console Configuração de
Serviços de Terminal.
Não permitir controle remoto: ao selecionar essa opção definimos que as sessões dos
usuários não poderão ser acessadas por outros usuários.
Usar controle remoto com as seguintes configurações: ao habilitar essa opção podemos
configurar como o controle remoto será utilizado. Ao selecionar a opção Exigir permissão
do usuário, definimos que o controle remoto será liberado somente quando o dono da sessão
permitir o acesso. E podemos também definir o nível do controle, ou seja, se o usuário que
está se conectando na sessão de outro usuário apenas visualizará a sessão ou poderá
também interagir com a sessão.
Clique na aba Configurações do Cliente. Nessa aba temos as seguintes opções, conforme ilustra a
Figura 17.21:
Limitar Intensidade Máxima de Cor: aqui nós definimos a intensidade máxima de cor
que poderá ser utilizada pelos clientes. Os valores variam de 8 a 32 bits, quando temos o
recurso Experiência Desktop instalado no Terminal Server. O valor padrão é 16 bits.
Unidade: essa e todas as outras opções que estão na caixa Redirecionamento definem quais
componentes do computador cliente poderão ser redirecionados para as sessões com o
Terminal Server. Com isso, os usuários poderão continuar utilizando seus recursos locais
dentro das suas sessões. Observe que para que o recurso esteja disponível, a caixa deve
estar desmarcada. Se você clicar e marcar a caixa, significa que o recurso estará
desabilitado. Essa primeira opção define que os drives do computador local serão
redirecionados para as sessões do usuário.
Impressora do Windows: essa opção define que as impressoras locais poderão ser
mapeadas para as sessões dos usuários.
Porta LPT: essa opção define que as portas LPT locais poderão ser mapeadas para as
sessões dos usuários.
Porta COM: essa opção define que as portas COM locais poderão ser mapeadas para as
sessões dos usuários.
Área de Transferência: essa opção define que a área de transferência local poderá ser
mapeada para as sessões dos usuários.
Áudio: essa opção define que o áudio local poderá ser mapeado para as sessões dos
usuários.
Dispositivos Plug and Play com suporte: essa opção define que os dispositivos Plug and
Play locais poderão ser mapeados para as sessões dos usuários.
Definir a impressora cliente principal como padrão: essa opção define que a impressora
padrão do computador local será configurada como a impressão padrão do usuário quando
uma sessão estiver ativa.
Clique na aba Adaptador de Rede. Nessa aba temos as seguintes opções, conforme ilustra a Figura
17.22:
Adaptador de Rede: aqui podemos definir quais adaptadores de rede poderão responder as
solicitações de sessões dos clientes. O valor padrão é Todos os adaptadores de rede
configurados com este protocolo.
Conexões ilimitadas: essa opção define que o Terminal Server não terá um limite de
sessões simultâneas.
Número máximo de conexões: aqui você pode definir o número máximo de sessões
suportadas simultaneamente pelo Terminal Server.
Clique na aba Segurança. Nessa aba, ilustrada pela Figura 17.23, definimos as opções de segurança.
Ou seja, definimos que tipo de acesso os usuários terão, e quais usuários terão direito de
estabelecerem conexões com o Terminal Server. A recomendação da Microsoft é que você controle
quem terá acesso ao Terminal Server através do grupo Usuários da Área de Trabalho Remota, e não
através dessa tela. As permissões disponíveis são as seguintes:
Controle Total: usuários com essa permissão possuem controle total sobre suas próprias
sessões e também sobre as sessões de outros usuários. Além disso essa permissão permite
que os usuários utilizem o recurso controle remoto em outras sessões e desconectem sessões
ativas.
Acesso do usuário: usuários que possuem essas permissões possuem controle restrito
somente sobre suas próprias sessões. Esses usuários podem criar sessões com o Terminal
Server, visualizar informações sobre suas sessões e se conectarem em outras sessões.
Acesso do Convidado: essa é a permissão mais restritiva e permite que o usuário apenas se
conecte com o Terminal Server.
Além dessas permissões básicas, temos também as permissões especiais, as quais detalho logo
abaixo:
Fazer Logon: permite que os usuários façam o logon em sessões do Terminal Server.
Fazer Logoff: permite que os usuários façam o logoff de sessões de outros usuários.
Bom, sobre o console Configuração de Serviços de Terminal é isso. Vamos conhecer agora o
Gerenciador de RemoteApp TS.
Trabalhando com o Gerenciador de RemoteApp TS – TS RemoteApp
Manager
Vamos agora para um exemplo prático onde veremos como criar uma RemoteApp. Nesse exemplo
utilizaremos o servidor TS02, o qual é membro de um domínio e possui o Windows Server 2008
instalado. Eu instalei o Office 2007 nesse servidor para que possamos publicar um aplicativo muito
utilizado pelos usuários. Caso você não tenha o Office 2007, pode utilizar aplicativos do próprio
Windows, como por exemplo, Calculadora e WordPad.
Exemplo prático: Para criar uma RemoteApp, siga os passos indicados a seguir:
1. Efetue o logon no servidor TS02 com uma conta com permissão de Administrador.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Gerenciador
de RemoteApp TS.
5. Na próxima tela, ilustrada pela Figura 17.25, você deve selecionar os aplicativos que serão
configurados como RemoteApp. Para nosso exemplo vamos selecionar os aplicativos
básicos do Office 2007 (Word, Excel, Access, Outlook e Power Point). Você pode clicar no
botão Propriedades para definir algumas propriedades do aplicativo. Na tela que será aberta
você pode visualizar o caminho no qual está localizado o aplicativo, pode configurar um
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
alias, ou nome alternativo para o aplicativo. Observe também que a opção O RemoteApp
está disponível pelo TS Web Access está habilitada. Com isso os usuários poderão também
acessar esse aplicativo pelo TS Web Access. Mantenha essa opção selecionada. É possível
ainda definir argumentos de linha de comando para o aplicativo e alterar o ícone do
aplicativo. Clique em OK e em Avançar.
Nota: Caso o aplicativo desejado não seja exibido na tela acima, clique no botão Procurar e localize
o aplicativo.
Bom, após você criar as RemoteApps será necessário você definir como essas aplicações serão
acessadas pelos usuários. Durante a criação das RemoteApps nós já pudemos verificar que as
aplicações poderão ser acessadas através do TS Web Access. Outra forma dos usuários acessarem
essas aplicações é através de arquivos .rdp e de pacotes .msi, conforme já descrito anteriormente, na
parte teórica sobre o Terminal Services.
Nota: Por padrão, quando você criar uma RemoteApp, caso o TS Web Access esteja instalado no
servidor, automaticamente as aplicações serão configuradas para estarem disponíveis para acesso
através do TS Web Access.
Para que os usuários possam acessar os RemoteApps através de arquivos .rdp ou .msi, o
computador cliente deverá estar executando o RDC 6.0 ou 6.1. Para que os RemoteApps possam ser
acessados através do TS Web Access, os computadores clientes deverão possuir o RDC 6.1. Os
seguintes sistemas operacionais possuem a versão 6.1 do RDC:
Windows XP SP3.
Na sessão Programas RemoteApp do console Gerenciador de RemoteApp TS, conforme nós vimos
anteriormente, são exibidos todos os RemoteApps disponíveis no servidor. Clique com o botão
direito do mouse sobre uma das RemoteApps. Será exibido um menu com as seguintes opções:
Mostrar no TS Web Access: ao clicar nessa opção, definimos que a RemoteApp estará
disponível para acesso via TS Web Access.
Ocultar no TS Web Access: ao clicar nessa opção, definimos que a RemoteApp não estará
disponível para acesso via TS Web Access.
Criar arquivo .rdp: essa opção nos permite criar os arquivos .rdp, os quais poderão ser
distribuídos posteriormente para os usuários.
Criar pacote do Windows Installer: essa opção nos permite criar os pacotes .msi, os quais
poderão posteriormente ser também distribuídos para os usuários. A vantagem desse pacote
é que ele pode ser facilmente distribuído para os usuários através das GPOs.
Ajuda: ao selecionar essa opção serão exibidas informações de ajuda sobre o Gerenciador
de RemoteApp TS.
Vamos então para um exemplo prático onde veremos como criar um arquivo .rdp. Após isso
copiaremos esse arquivo para outro servidor e faremos os testes.
Exemplo prático: Para criar um arquivo .rdp, siga os passos indicados a seguir:
1. Efetue o logon no servidor TS02 com uma conta com permissão de Administrador.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Gerenciador
de RemoteApp TS.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
3. Clique com o botão direito do mouse sobre a RemoteApp desejada e selecione a opção
Criar Arquivo .rdp.
5. Na tela ilustrada pela Figura 17.26, inicialmente devemos selecionar o local onde o arquivo
será gravado. Vamos manter o caminho padrão que é C:\Program Files\Packaged Programs.
6. Em Configurações do Terminal Server, clique em Alterar. Na tela que será exibida temos o
nome do Terminal Server que será utilizado e também a porta que será utilizada, que por
padrão é a 3389. Mantenha as configurações padrão e clique em OK.
7. Em Configurações do Gateway TS não vamos alterar nada, pois ainda não instalamos esse
recurso. Aqui você pode definir se o servidor Gateway TS será localizado automaticamente
ou se será utilizado um servidor específico.
10. Pronto, nosso arquivo .rdp já está pronto. Agora vamos copiar esse arquivo para outro
computador, de tal forma que possamos testá-lo. Para o nosso exemplo, vou copiar esse
arquivo para o servidor TS01, que também faz parte do domínio fabianosantana.com.br e
possui o Windows 2008 Server instalado.
11. Após copiar o arquivo para o outro computador, efetue o logon nesse computador com a
conta de usuário Administrador do domínio.
12. Localize o arquivo .rdp e clique duas vezes sobre ele. Na tela que será exibida clique em
Conectar.
13. Agora informe as credenciais para acessar o aplicativo. Para nosso exemplo, vou utilizar a
própria conta do Administrador. Após isso clique em OK. Insira as credencias novamente
caso seja solicitado. Agora é só aguardar até que o aplicativo seja iniciado.
14. Perceba que o aplicativo roda como se estivesse instalado na própria máquina do usuário.
Na Figura 17.27 ilustramos o Word 2007 sendo executado no servidor TS01 através do
arquivo .rdp.
Vamos ver agora como utilizar o TS Web Access, um novo recurso do Windows Server 2008 que
nos permite acessar as aplicações através do navegador de Internet.
Trabalhando com o Console Administração do TS Web Access
O console Administração do TS Web Access é na verdade um Web Site no qual podemos visualizar
as RemoteApps disponíveis. Não existem muitas configurações que podem ser feitas nesse Web
Site, pois ele é utilizado justamente para permitir que os usuários acessem as RemoteApps através
do Internet Explorer.
A vantagem na utilização do TS Web Access é que você não precisa distribuir nenhum arquivo para
os clientes. Basta eles acessarem o TS Web Access que lá estarão todas as RemoteApps disponíveis.
Nota: Caso o TS Web Access esteja configurado no mesmo servidor que estão as RemoteApps,
nenhuma configuração adicional será necessária. Porém, caso o TS Web Access esteja instalado em
um servidor diferente, você deverá adicionar a conta de computador do TS Web Access no grupo
Computadores com TS Web Access, no servidor onde estão as RemoteApps. Após isso, você
deverá configurar o TS Web Access para que ele liste todas as RemoteApps disponíveis. Para isso,
abra o console Administração do TS Web Access e clique em Configuração. No canto direito da
tela será exibida a Zona do Editor. Na caixa Nome do servidor de terminal, digite o nome do
servidor que possui as RemoteApps e clique em Aplicar. Pronto, a partir desse momento os usuários
poderão acessar as RemoteApps através do TS Web Access. Resumindo, para que os usuários
possam acessar as RemoteApps via TS Web Access, as RemoteApps não precisam necessariamente
estarem instaladas no próprio servidor onde o TS Web Access está instalado. Isso dá uma grande
flexibilidade para o Administrador implementar a arquitetura que melhor atender a rede da sua
empresa.
Vamos então para um exemplo prático onde veremos como acessar as RemoteApps através do
Internet Explorer. Nesse exemplo vou utilizar dois servidores Windows Server 2008. As
RemoteApps e o TS Web Access estão no servidor TS02. Portanto, vou logar no TS01 e realizar o
acesso via Internet Explorer.
Exemplo prático: Para acessar as RemoteApps através do Internet Explorer, siga os passos
indicados a seguir:
2. Clique em Iniciar -> Todos os Programas -> Internet Explorer. Será aberto o navegador de
Internet.
3. A URL utilizada para acessar o TS Web Access, por padrão é bem simples: o nome do
servidor seguido de TS. Como o TS Web Access está instalado no servidor TS02, a url
ficaria a seguinte: http://ts02/ts. Digite a URL no navegador de Internet e pressione a tecla
Enter.
6. Para utilizar as aplicações, basta apenas clicar sobre a aplicação desejada e seguir os
mesmos procedimentos que utilizamos para acessar uma RemoteApp através do arquivo
.rdp.
Outro recurso interessante que está disponível no TS Web Access é o Conexão da Web da Área de
Trabalho Remota. Através desse recurso nós podemos também administrar servidores e estações de
trabalho remotamente, através do TS Web Access. Para acessar esse recurso basta abrir o TS Web
Access e clicar na opção Área de Trabalho Remota. Ao clicar nessa opção será exibido a tela
Conexão da Web da Área de Trabalho Remota, ilustrada pela Figura 17.29.
Clique no botão Opções para que as configurações adicionais sejam exibidas. Na caixa Conectar a:
você deve digitar o nome do servidor ou estação de trabalho que será administrado remotamente.
Em Exibir área de trabalho remota você pode definir o tamanho da tela que será utilizado. Podemos
também definir quais dispositivos e recursos serão utilizados na sessão remota, como por exemplo,
impressoras, unidades, e assim por diante. E por último temos as opções adicionais, como som do
computador remoto, atalhos de teclado e desempenho da conexão de rede.
Após fazer as configurações e digitar o nome ou IP do servidor remoto, clique em Conectar. Na tela
que será exibida, clique novamente em Conectar. Na tela Segurança do Windows, informe as
credencias de Administrador e clique em OK. Caso as credenciais sejam solicitadas novamente
digite-as. Pronto, agora a conexão será estabelecida e você poderá administrar o computador
remoto.
Trabalhando com o Licenciamento TS – Terminal Services Licensing
Para que você possa ter uma infra-estrutura de Terminal Services ativa e que atenda suas
necessidades, você precisará ter pelo menos um Terminal Server Licensing instalado na rede da sua
empresa. Caso esse serviço não esteja disponível na sua rede até no máximo 120 dias após a
instalação do Terminal Services, todos os Terminal Servers deixarão de atender as solicitações dos
clientes. Conforme nós já dissemos anteriormente, o Terminal Services exige uma licença de acesso
de cliente (CAL – Client Access License) para cada usuário ou dispositivo que utilizar o Terminal
Services. Ou seja, além das licenças do próprio Windows, você precisará também das licenças de
Terminal Services.
É importante também que o servidor que possui o Terminal Services License instalado tenha acesso
a Internet, para que a conexão com o Microsoft Clearinghouse possa ser efetuada. Essa conexão é
necessária para que as licenças sejam ativadas na Microsoft. A conexão com o Microsoft
Clearinghouse utiliza o protocolo HTTP e as portas 80 e 443. Caso não seja possível conectar o
Terminal Services Licensing com a Internet, você precisará ativar suas licenças através do telefone.
Vamos então para um exemplo prático onde veremos como instalar o Terminal Services Licensing,
ou, Licenciamento TS.
3. Caso o servidor não possua nenhum recurso do Terminal Services instalado, clique em
Funções -> Adicionar funções. Na tela informativa clique em Próximo. Selecione a caixa
Serviços de Terminal e clique em Próximo. Na tela informativa clique em Próximo. Na tela
Selecionar Serviços de Função, selecione Licenciamento TS e clique em Próximo.
5. Para nosso exemplo, vamos instalar o Terminal Services Licensing em um servidor que não
possui nenhum recurso do Terminal Services instalado.
Logo após as instalação do Terminal Services Licensing ser concluída, devemos ativar o servidor de
licenças e configurar as licenças para que possam ser utilizadas. Para abrir o Terminal Services
Licensing clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> TS
Licensing Manager. Será aberto o console de administração de licenças, ilustrado pela Figura 17.31.
Outra forma de abrir esse console é através do comando licmgr.exe.
Ao abrir esse console, será feita uma pesquisa na rede em busca de servidores de licença. Os
servidores encontrados serão exibidos no console. Observe que nosso servidor está com o status de
ativação Não ativado e possui um X vermelho ao lado do seu nome. Para ativar o servidor de
licenças siga os passos do exemplo abaixo.
Exemplo prático: Para ativar o servidor de licenças, siga os passos indicados a seguir:
1. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> TS Licensing
Manager.
2. Clique com o botão direito sobre o servidor de licenças que será ativado e selecione a opção
Ativar Servidor.
4. Na próxima tela selecione o método de conexão que será utilizado. Para o nosso exemplo,
selecione a opção Navegador da Web e clique em Avançar. Certifique-se de que o servidor
esteja conectado com a Internet.
6. Após acessar o site acima, selecione a opção Activate a License Server e clique em Next.
7. Agora preencha as informações solicitadas nessa tela. Observe que é solicitado também o
product id, o qual você anotou em um dos passos anteriores. Após preencher as
informações clique em Next.
9. Por último será gerado o identificador do servidor de licenças. Copie esse identificador e
digite-o na tela Ativação do Servidor de Licenças.
11. Pronto. O servidor de licenças já está ativado. Na última tela desmarque a opção Iniciar
Assistente para Instalação de Licenças agora e clique em Concluir.
Após ter ativado o nosso servidor de licenças, é hora de instalar as licenças. O processo de
instalação é praticamente o mesmo da ativação do servidor. Basta você clicar com o botão direito do
mouse sobre o servidor de licenças e selecionar a opção Instalar Licenças. Agora é só seguir os
passos do assistente.
Trabalhando com o Console TS Gateway
O TS Gateway é mais um serviço de função do Terminal Services que permite que usuários remotos
se conectem com recursos da rede interna de uma empresa, ou qualquer rede particular, a partir de
uma conexão com a Internet. Por exemplo, você pode permitir que os usuários da sua empresa
acessem remotamente, ou seja, de fora da empresa, as RemoteApps, os Terminal Servers e
administrem servidores que possuem o Remote Desktop habilitado. As conexões com o TS
Gateway são realizadas através do RDP sobre HTTPS, com o objetivo de proteger a conexão com
criptografia.
Permite que os usuários se conectem com a rede interna de forma segura, utilizando uma
conexão criptografada e sem a necessidade da criação de VPNs.
No TS Gateway você pode criar uma série de políticas que definem os requisitos para que
os usuários possam se conectar com a rede interna da empresa. Você pode definir qual
grupo de usuário poderá realizar esse tipo de acesso, quais recursos internos esses usuários
poderão utilizar, e assim por diante.
Resumindo, se você quiser disponibilizar aplicações baseadas no Terminal Services para usuários
externos, você deverá utilizar o TS Gateway. Com isso você simplificará o processo de
administração da rede, além de proteger as conexões contra as ameaças de segurança.
Temos ainda dois conceitos importantes relacionados com o TS Gateway: TS CAP (Terminal
Services Connection Authorization Policy) e TS RAP (Terminal Services Resource Authorization
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Policy). As TS CAPs nos permitem definir grupos de usuários ou grupos de computadores que
poderão acessar os recursos através do TS Gateway. Já as TS RAPs nos permitem definir quais
recursos internos estarão disponíveis para acesso através do TS Gateway. Com essas políticas
podemos simplificar a administração dos recursos da nossa rede e aplicar um nível de segurança
elevado.
Vamos agora para um exemplo prático onde nós veremos como instalar o TS Gateway. Utilizarei
um servidor chamado TS03, o qual possui o Windows Server 2008 instalado e é membro do
domínio fabianosantana.com.br. Nenhum outro componente do Terminal Services está instalado
nesse servidor. Ele será configurado exclusivamente como TS Gateway Server.
8. Será aberto o Assistente para Adicionar Funções lhe informando que é necessário instalar
alguns serviços de função. Clique em Adicionar Serviços de Função Necessários e em
Próximo.
10. Na tela Criar Diretivas de Autorização para Gateway TS, selecione a opção Mais Tarde e
clique em Próximo. Após a instalação do TS Gateway veremos como criar as políticas.
Para abrir o console de gerenciamento do Gateway TS, clique em Iniciar -> Ferramentas
Administrativas -> Serviços de Terminal -> Gerenciador de Gateway TS. Será aberto o console
ilustrado pela Figura 17.33.
Após ter instalado o Gateway TS, é hora de criarmos as políticas. Vamos inicialmente definir um
cenário. Somente membros do grupo Administradores do Domínio poderão acessar os recursos via
Gateway TS. Além disso, somente os recursos dos servidores TS01 e TS02 poderão ser acessados
via Gateway TS. Como a política aceita apenas grupos de servidores, vamos criar um grupo no
Active Directory chamado AcessoTSGateway e adicionar esses dois servidores nesse grupo. Para
isso, efetue o logon no Controlador de Domínio, clique em Iniciar -> Ferramentas Administrativas -
> Usuários e Computadores do Active Directory. Clique com o botão direito do mouse sobre a
unidade organizacional Users e selecione Novo -> Grupo. Na caixa Nome do Grupo digite
AcessoTSGateway. Escolha o escopo Domínio Local e o tipo Segurança. Clique em OK. Após isso
clique duas vezes sobre esse grupo e clique na guia Membros. Clique em Adicionar -> Tipos de
Objeto. Selecione apenas a caixa Computadores e clique em OK. Agora selecione a conta dos
servidores TS01 e TS02 e clique em OK. Caso você esteja utilizando outros nomes para os
servidores, digite os nomes correspondentes. Lembrando que o servidor TS02 é o servidor no qual
instalamos o Terminal Services, o TS Web Access e criamos as RemoteApps. Na tela de
propriedades do grupo, clique em OK novamente. Pronto, nosso grupo de servidores já está pronto.
Exemplo prático: Para criar as políticas de acesso no TS Gateway, siga os passos indicados a
seguir:
1. Faça o logon no servidor TS03 com a conta de usuário Administrador do domínio. Esse é o
servidor no qual instalamos o TS Gateway.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Gerenciador
de Gateway TS.
3. No console que será aberto, expanda a opção TS03, que é o nome do servidor, e clique com
o botão direito do mouse sobre Diretivas. No menu que será exibido clique em Criar Novas
Diretivas de Autorização.
4. Será aberto o Assistente Criar Diretivas de Autorização para Gateway TS. Selecione a
opção Criar TS DAC e TS DAR (recomendado), para que possamos criar ambas as
políticas. Clique em Próximo.
5. Agora digite um nome para a TS DAC. Para nosso exemplo, digite o seguinte nome:
AcessoRemotoTS-Usuários e clique em Próximo.
7. Agora defina se o direcionamento de dispositivos poderá ser utilizado pelos usuários nas
suas sessões. Mantenha a opção padrão selecionada, que é a Habilitar redirecionamento de
dispositivo em todos os dispositivos cliente e clique em Próximo.
8. É exibido agora um resumo das configurações da TS DAC, conforme ilustra a Figura 17.34.
9. Clique em Próximo e na tela que será exibida, digite um nome para a TS DAR. Para nosso
exemplo digite o seguinte nome: AcessoRemotoTS-Recursos. Clique em Próximo.
10. Nessa tela não faça nenhuma alteração. Mantenha o grupo Admins. do Domínio na caixa
Associação de grupo de usuários para que esse grupo tenha acesso a essa política. Clique
em Próximo.
11. Vamos agora definir quais servidores poderão ser acessados através do TS Gateway.
Selecione a opção Um grupo de segurança existente do Active Directory e clique em
Procurar. Digite o nome do grupo que criamos anteriormente, AcessoTSGateway, e clique
em OK. Clique em Próximo.
12. Agora configure a porta através da qual a conexão será efetuada. Vamos manter a porta
padrão, que é a TCP 3389. Você pode também definir qual porta será utilizada ou permitir
as conexões em quaisquer portas. Clique em Próximo.
15. Para alterar as configurações das políticas, basta navegar pelo console Gerenciador de
Gateway TS e clicar em Diretivas de Autorização de Conexão ou Diretivas de Autorização
de Recursos. Após isso, basta clicar duas vezes sobre a política que é exibida no painel
central do console.
16. Você pode também excluir e desabilitar as políticas. Para isso, basta clicar com o botão
direito do mouse sobre a política e selecionar a opção desejada.
Exemplo prático: Para fazer as configurações do TS Gateway nos Terminal Servers, siga os passos
indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS02, que o
servidor onde configuramos as RemoteApps.
3. No painel Visão Geral, clique sobre Alterar que está ao lado de Configurações do Gateway
TS.
Usar estas configurações do servidor Gateway TS: ao selecionar essa opção você poderá
definir exatamente qual servidor TS Gateway será utilizado. Nesse caso você deverá
informar o nome do servidor, o método de logon e algumas opções adicionais.
Não usar um servidor Gateway TS: essa opção define que as RemoteApps desse servidor
não poderão ser acessadas através do Gateway TS.
Agora é preciso fazer algumas configurações relacionadas com o certificado que geramos para o
Gateway TS. Por padrão, esse certificado que geramos não é confiável. Para que ele ser torne
confiável, nós devemos instalá-lo no armazenamento de Autoridades de Certificação de Raiz
Confiáveis. Para isso, siga os passos do exemplo abaixo.
Exemplo prático: Para configurar o certificado do TS Gateway, siga os passos indicados a seguir:
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Gerenciador
de Gateway TS.
3. Clique com o botão direito do mouse sobre o nome do servidor e clique em Propriedades.
6. Na tela que será exibida, clique na guia Detalhes e clique no botão Copiar para arquivo.
8. Na próxima tela selecione a opção Sim, exportar a chave particular e clique em Avançar.
10. Agora digite uma senha para que a chave particular seja protegida. Guarde essa senha pois
ela será utilizada posteriormente. Clique em Avançar.
11. Clique no botão Procurar..., selecione a pasta no qual o certificado será armazenado e
define um nome para o certificado. Para nosso exemplo vamos definir o nome
CertificadoTS03 e armazená-lo na raiz do C:. Clique em Salvar.
12. Quando você estiver de volta na tela Arquivo a ser exportado, clique em Avançar.
14. Clique em Cancelar para fechar a tela Instalar Certificado e clique em OK para fechar as
propriedades do Gateway TS.
15. Até esse momento exportamos o certificado. Vamos agora configurá-lo como confiável.
Para isso clique em Iniciar e na caixa Iniciar Pesquisa, digite mmc e pressione a tecla Enter.
16. Será aberto o console MMC em branco. Clique em Arquivo -> Adicionar/Remover Snap-in.
Selecione o Snap-in Certificados e clique em Adicionar. Na tela que será exibida, selecione
Conta de Computador e clique em Avançar. Na próxima tela clique em Concluir e em OK.
Pronto, será aberto o console Certificados.
17. Agora clique duas vezes sobre Certificados (Computador local) -> Autoridades de
Certificação Raiz Confiáveis. Clique com o botão direito do mouse sobre Certificados e
clique em Todas as Tarefas -> Importar.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
19. Agora clique em Procurar e localize o certificado que exportamos anteriormente. No meu
caso gerei um arquivo chamado CertificadoTS03 na raiz do drive C:. Clique na caixa de
tipos de arquivos e selecione a opção Troca de Informações Pessoais. Agora selecione o
arquivo e clique em Abrir. Clique em Avançar.
20. Agora digite a senha que você utilizou durante a exportação do certificado e clique em
Avançar.
21. Na próxima tela selecione a opção Colocar todos os certificados no armazenamento a seguir
e clique em Procurar. Selecione a opção Autoridades de Certificação Raiz Confiáveis e
clique em OK. Clique em Avançar e em Concluir.
22. Na tela que será exibida clique em OK. Pronto, nosso certificado já está configurado como
confiável.
Após fazer todas as configurações relacionadas com o Gateway TS e com o certificado, você deve
configurar os clientes para que possam acessar as RemoteApps através do Gateway TS. O primeiro
passo é instalar o certificado utilizado pelo Gateway TS nos clientes. Posteriormente devemos
configurar o RDC. Vamos então para um exemplo prático onde faremos essas configurações.
Exemplo prático: Para configurar os clientes para que possam utilizar o Gateway TS, siga os
passos indicados a seguir:
3. Vamos então efetuar o logon no computador cliente, no meu caso o TS01, com a conta de
usuário Administrador do domínio.
4. Após isso clique em Iniciar e na caixa Iniciar Pesquisa, digite mmc e pressione a tecla
Enter.
5. Será aberto o console MMC em branco. Clique em Arquivo -> Adicionar/Remover Snap-in.
Selecione o Snap-in Certificados e clique em Adicionar. Na tela que será exibida, selecione
Conta de Computador e clique em Avançar. Na próxima tela clique em Concluir e em OK.
Pronto, será aberto o console Certificados.
6. Agora clique duas vezes sobre Certificados – Usuário Atual -> Autoridades de Certificação
Raiz Confiáveis. Clique com o botão direito do mouse sobre Certificados e clique em Todas
as Tarefas -> Importar.
8. Clique em Procurar e localize o arquivo de certificado que foi copiado do servidor Gateway
TS. Clique na caixa de tipos de arquivos e selecione a opção Troca de Informações
Pessoais. Agora selecione o arquivo e clique em Abrir. Clique em Avançar.
9. Agora digite a senha que você utilizou durante a exportação do certificado e clique em
Avançar.
10. Clique em Avançar duas vezes e em Concluir. Na tela que será exibida clique em OK.
11. Pronto. Nesse momento o certificado do servidor TS03, que é o nosso Gateway TS, já é
confiável no cliente TS01.
12. Agora vamos fazer as configurações no cliente da Conexão da Área de Trabalho Remota,
no computador cliente. Para isso, clique em Iniciar -> Todos os Programas -> Acessórios ->
Conexão da Área de Trabalho Remota.
13. Será aberto o cliente. Clique em Opções. Clique na guia Avançado. Após isso clique no
botão Configurações, que está na sessão Conectar de qualquer lugar. Será aberta a tela
ilustrada pela Figura 17.37. Temos as seguintes opções:
Usar estas configurações do servidor Gateway TS: ao selecionar essa opção você poderá
definir exatamente qual servidor TS Gateway será utilizado. Nesse caso você deverá
informar o nome FQDN do servidor, o método de logon e se o Gateway TS será ignorado
para conexões locais.
Não usar um servidor Gateway TS: essa opção define que o cliente não utilizará um
servidor Gateway TS.
15. Agora é só estabelecer a conexão com o Terminal Services desejado que a conexão será
realizada através do Gateway TS.
Vou simular uma conexão para que você entenda melhor. Vou me logar no servidor TS01 e acessar
o servidor TS02 através de uma conexão remota. Só que eu não vou acessar diretamente o servidor
TS02. Ao invés disso, farei o acesso através do servidor Gateway TS, que é o TS03. Siga os passos
do exemplo abaixo.
Exemplo prático: Para estabelecer uma conexão remota através do Gateway TS, siga os passos
indicados a seguir:
1. Efetue logon com a conta de usuário Administrador do domínio no servidor cliente. No meu
caso, será o servidor TS03.
2. Clique em Iniciar -> Todos os Programas -> Acessórios -> Conexão da Área de Trabalho
Remota.
3. Será aberto o cliente. Clique em Opções. Clique na guia Avançado. Após isso clique no
botão Configurações, que está na sessão Conectar de qualquer lugar.
4. Selecione a opção Usar estas configurações do servidor Gateway TS. Na caixa Nome do
Servidor, digite o nome FQDN do servidor Gateway TS. No meu caso,
ts03.fabianosantana.com.br.
6. Desmarque a caixa Ignorar servidor Gateway TS para endereços locais e clique em OK.
7. Agora clique na guia Geral e na caixa Computador, digite o nome FQDN do Terminal
Server que será acessado remotamente. No meu caso, ts02.fabianosantana.com.br.
9. Na tela que será exibida, ilustrada pela Figura 17.38, você deverá digitar a conta de usuário
e senha que será utilizada na conexão. Observe que essas credenciais serão utilizadas em
ambos os servidores, Gateway TS e Terminal Server.
Nota: Lembre-se que anteriormente nós criamos as políticas no servidor Gateway TS. Nessas
políticas nós definimos que somente membros do grupo Administradores do Domínio poderão
acessar recursos dos servidores que estão no grupo AcessoTSGateway (TS01 e TS02). Em outras
palavras, se você tentar estabelecer uma conexão através do Gateway TS com uma conta de usuário
que não seja membro desse grupo de usuário, você terá o acesso negado. Além disso, caso você
tente acessar um servidor que não esteja no grupo AcessoTSGateway, o acesso também será
negado.
10. Após digitar as credenciais clique em OK. Agora digite novamente as credencias do
administrador do domínio para que o logon seja efetuado no servidor TS02.
11. Pronto, conexão estabelecida. Você com certeza deve estar se perguntando: como é que
você me garante que a conexão foi realmente estabelecida através do Gateway TS?
Simples, basta você acessar o console do Gateway TS e clicar em Monitoramento. No
painel central, conforme ilustra a Figura 17.49, você poderá visualizar todas as conexões
ativas que foram estabelecidas através do Gateway TS.
12. Aqui você poderá visualizar uma série de informações sobre a sessão, como por exemplo,
conta de usuário utilizada na conexão, endereço IP de origem, computador de destino, porta
utilizada na conexão, e uma série de outras informações.
Importante: Quando você tentar estabelecer uma conexão através do Gateway TS e os requisitos
definidos pelas políticas não forem atendidos, será exibida uma tela lhe informando que a conexão
não poderá ser estabelecida, conforme ilustra a Figura 17.40.
Sobre o Gateway TS é isso pessoal. Caso precisem de maiores informações sobre esse e outros
recursos do Terminal Services, acessem os sites abaixo:
http://www.microsoft.com/windowsserver2008/en/us/ts-technical-resources.aspx
http://technet.microsoft.com/en-us/library/cc771530.aspx
Vamos falar agora sobre o TS Session Broker, outro fantástico recurso que está disponível no
Terminal Services do Windows Server 2008. Veremos como fazer o balanceamento de carga entre
dois servidores de Terminal que possuem aplicações configuradas como RemoteApps. No decorrer
do próximo tópico darei maiores informações sobre o cenário que utilizaremos.
Trabalhando com o Agente de Sessão TS – TS Session Broker
Nota: Antes de iniciar esse tópico já vou apresentar para vocês o cenário que será utilizado. É
importante que você tenha esse ambiente para que possa seguir os exemplos na prática.
Utilizaremos 3 servidores Windows Server 2008, todos membro do domínio fabianosantana.com.br.
Nos servidores TS02 e TS05, eu já tenho instalado o Terminal Server e TS Web Access. Além
disso, ambos os servidores possuem instalado o Microsoft Office 2007 e as seguintes aplicações
estão configuradas como RemoteApp: Calculadora, Contatos do Windows, Paint, WordPad,
Microsoft Office Word 2007, Microsoft Office Excel 2007, Microsoft Office Access 2007,
Microsoft Office Outlook 2007, Microsoft Office Power Point 2007, Microsoft Office Publisher
2007 e Microsoft Office InfoPath 2007. Nos tópicos anteriores eu apresentei para vocês como
instalar esses componentes e como configurar as RemoteApps. E o servidor TS01, será o servidor
no qual instalaremos o TS Session Broker.
O Agente de Sessão TS, ou TS Session Broker, é outro novo recurso do Terminal Services no
Windows Server 2008 que nos permite fazer o balanceamento de sessões entre os diversos Terminal
Servers disponíveis em uma empresa. No Windows Server 2003 temos um recurso parecido que se
chama Terminal Services Session Directory.
A grande vantagem na utilização desse recurso é que você não sobrecarrega os Terminal Servers.
Quando um usuário tenta estabelecer uma conexão com o Terminal Services, esse usuário será
redirecionado automaticamente para o servidor que possuir menos conexões ativas. Todo esse
processo é transparente para o usuário.
Na segunda fase, o Terminal Server no qual a conexão foi realizada redireciona o usuário
para o Terminal Server que foi especificado pelo TS Session Broker. Caso o usuário já
tenha uma sessão, ele será redirecionado para o servidor onde essa sessão foi inicialmente
estabelecida. Caso o usuário ainda não tenha uma sessão, ele será redirecionado para o
servidor que possui menos sessões.
Um detalhe interessante é que o Terminal Server Session Broker define um limite máximo de 16
logons na fila de espera por uma sessão, em um determinado servidor. Isso ajuda a evitar que os
servidores fiquem com filas de esperas sobrecarregadas. Além disso, você pode atribuir um peso
para os Terminal Servers. Com isso você personaliza ainda mais a distribuição da cara de trabalho
entre os Terminal Servers. Suponha que você possui dois servidores mais potentes e um servidor
mais antigo, com um hardware defasado. Nesse caso você pode atribuir para o servidor mais antigo
um peso menor, o que fará com que menos conexões sejam redirecionadas para esse servidor.
Existe ainda um mecanismo chamado “server draining”. Esse recurso nos permite bloquear a
criação de novas sessões em um Terminal Server. Muito útil em casos onde precisamos fazer algum
tipo de manutenção nos servidores. Nesse caso, as novas sessões serão redirecionadas para os
servidores que não estão com esse mecanismo habilitado.
Nota: O mecanismo mais simples para distribuir as conexões iniciais é o Round Robin. Você pode
ainda utilizar o NLB do próprio Windows, ou uma solução de hardware, porém essas soluções são
mais complexas. Para os nossos exemplos utilizaremos do Round Robin. Round robin é um
mecanismo de equilíbrio local usado pelos servidores DNS para compartilhar e distribuir cargas
entre dois ou mais servidores da rede. Por exemplo, pode ser utilizado para distribuir os acessos a
um site de elevado volume de acessos entre dois ou mais servidores que contém exatamente o
mesmo conteúdo. Em resumo, a um único nome DNS são associados dois ou mais endereços IP. A
medida que as requisições vão chegando, o DNS responde cada consulta com um dos endereços IP.
Isso proporciona uma distribuição igualitária de carga entre os diversos servidores. Lembrando
também que no Módulo 16 nós apresentamos o recurso DNS do Windows Server 2008.
Para que o round robin funcione, vários registros de recursos do tipo A para o mesmo nome devem
ter sido criados na zona do DNS. Ou seja, os registros devem ser mapeados para o nome do farm de
Terminal Servers. O farm é nada mais do que um conjunto de Terminal Servers que serão utilizados
no balaceamento de cargas. Esses servidores deverão possui as mesmas aplicações instaladas. Além
disso, o farm terá um nome, e esse é o nome que deverá ser utilizado pelos clientes durante o
estabelecimento das conexões.
2. Agora, o servidor DNS, que está configurado para utilizar o Round Robin, retorna para o
cliente a relação de endereços IPs que estão atribuídos para o nome do farm.
3. O cliente, por sua vez, envia a solicitação da conexão remota para o primeiro endereço IP
que está na lista de IPs fornecidos pelo servidor DNS.
4. Agora o Terminal Server verifica no TS Session Broker qual servidor poderá atender a
solicitação do cliente.
5. O TS Session Broker verifica sua base de dados e toma uma das seguintes ações:
6. Agora o usuário envia sua solicitação de conexão para o Terminal Server especificado pelo
TS Session Broker e efetua o logon.
7. Após isso, o Terminal Server notifica o TS Session Broker que a conexão foi estabelecida
com sucesso.
Na teoria parece um processo demorado e complicado. Mas na prática vocês verão que é bem
simples, e o mais importante, tudo transparente para o usuário. Para os usuários, o importante é que
as conexões sejam rápidas e que os aplicativos necessários estejam disponíveis. Para nós,
administradores, além dessas preocupações, nós devemos também garantir que os Terminal Servers
sejam utilizados da melhor forma, sem sobrecarregar os servidores.
Existem alguns pré-requisitos para que o TS Session Broker possa ser utilizado corretamente:
Todos os Terminal Servers do farm e o servidor que terá o TS Session Broker instalado,
devem possuir o Windows Server 2008 instalado. O TS Session Broker pode ser instalado
nas versões Enterprise e Datacenter do Windows Server 2008.
Para que os clientes possam tirar proveito desse recurso, eles devem utilizar no mínimo o
cliente da Conexão de Área de Trabalho Remota na versão 5.2.
É altamente recomendado também que todos os Terminal Servers sejam configurados de tal
forma que os usuários possam estabelecer apenas uma conexão simultaneamente. Essa
configuração pode ser feita via GPO ou através do console Configuração de Serviços de
Terminal.
Bom, sobre teoria é o suficiente. Vamos agora para a parte prática, a qual será dividida em algumas
fases:
Nota: O TS Session Broker só pode ser instalado em servidores que sejam membros de um
domínio.
3. Configurar os Terminal Servers para que suportem apenas uma conexão simultânea por
usuário.
Vamos agora para os exemplos práticos. Lembre-se que no início desse tópico eu detalhei para você
a infra-estrutura de servidores que será utilizada.
Exemplo prático: Fase 1 – Para instalar o TS Session Broker, siga os passos indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS01, onde
instalaremos o TS Session Broker.
4. Será exibido o Assistente para Adicionar Funções. Na primeira tela, que é apenas
informativa, clique em Próximo.
6. Será exibida uma tela informativa com uma introdução ao Serviços de Terminal. Clique em
Próximo.
Vamos agora para a segunda fase onde adicionaremos as contas de computador dos Terminal
Servers que farão parte do farm no grupo Computadores do Diretório de Sessões. Essa tarefa deve
ser realizada no próprio servidor onde o TS Session Broker foi instalado, no nosso caso, TS01.
Outro detalhe é que esse servidor é um Controlador de Domínio, portanto, o grupo Computadores
do Diretório de Sessões foi criado no domínio.
Exemplo prático: Fase 2 – Para adicionar as contas de computador dos Terminal Servers no grupo
Computadores do Diretório de Sessões, siga os passos indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS01, onde
instalamos o TS Session Broker.
6. Agora digite o nome dos servidores (TS02; TS05) e clique em OK duas vezes.
Vamos agora para a terceira fase, onde configuraremos os Terminal Servers para que suportem
apenas uma conexão simultânea por usuário. Faremos essa configuração localmente em ambos os
servidores (TS02 e TS05) através do console Configuração de Serviços de Terminal.
Exemplo prático: Fase 3 – Para configurar os Terminal Servers para que suportem apenas uma
conexão simultânea por usuário, siga os passos indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS02, o qual
possui as RemoteApps configuradas e fará parte do farm do TS Session Broker.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Configuração
de Serviços de Terminal.
3. No painel central, na sessão Editar configurações, clique duas vezes sobre Restringir cada
usuário a uma sessão.
4. Na tela que será aberta, certifique-se que a opção Restringir cada usuário a uma sessão
esteja selecionada e clique em OK.
5. Pronto. Com isso definimos que esse Terminal Server aceitará apenas uma sessão
simultânea por usuário.
6. Agora realize esse mesmo procedimento no servidor TS05, que é o outro servidor que
possui as RemoteApps configuradas e fará parte do farm do TS Session Broker.
Vamos agora configurar efetivamente o TS Session Broker. Essas configurações podem ser
realizadas através de GPO ou através do console Configuração de Serviços de Terminal. Nós
utilizaremos o console Configuração de Serviços de Terminal. Esses procedimentos deverão ser
efetuados nos dois servidores que farão parte do farm. No nosso caso, TS02 e TS05.
Exemplo prático: Fase 4 – Para ingressar os Terminal Servers no farm do TS Session Broker e
configurá-los para o balanceamento de carga, siga os passos indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS02, o qual
possui as RemoteApps configuradas e fará parte do farm do TS Session Broker.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Configuração
de Serviços de Terminal.
3. No painel central, na sessão Editar configurações – Agente de Sessão TS, clique duas vezes
sobre Membro do farm no Agente de Sessão TS.
4. Na tela que será aberta, selecione a opção Ingressar em um farm no Agente de Sessão TS.
6. Na caixa Nome do farm no Agente de Sessão TS, digite o nome do farm que será utilizado
no TS Session Broker. Utilize um nome sugestivo, pois esse é o nome que os usuário
utilização para se conectar no Terminal Services. Para nosso exemplo, vamos utilizar o
nome TerminalServices. Aqui é importante salientar que o outro servidor deverá também
utilizar esse mesmo nome de farm.
8. Em peso relativo desse servidor no farm, defina qual será o peso desse servidor. O valor
padrão é 100, e esse valor é relativo, ou seja, se esse servidor tiver o peso 100 e o outro
servidor tiver o peso 300, o outro servidor receberá 3 vezes mais conexões do que esse
servidor. Vamos manter o valor padrão.
10. Clique em OK. Pronto, o primeiro servidor já está configurado. Agora repita os mesmos
procedimentos no outro servidor. No nosso caso, TS05.
Agora que nossos Terminal Servers já estão configurados, é hora de configurar o Round Robin no
servidor DNS. No nosso caso, o servidor DNS é o próprio servidor TS01. Nessa configuração nós
criaremos dois registros do tipo A. Vamos ver se vocês matam a charada: “Qual será o nome dos
registros que serão criados? E quais serão os endereços IP utilizados nesses registros?”.
Exemplo prático: Fase 5 – Para configurar o DNS Round Robin, siga os passos indicados a seguir:
4. Clique com o botão direito do mouse sobre o nome do domínio e clique em Novo Host.
5. Será exibida a tela Novo host. Vocês já mataram a charada? “Qual será o nome dos
registros que serão criados? E quais serão os endereços IP utilizados nesses registros? O
nome dos registros será TerminalServices, ou seja, o nome do farm que configuramos nos
Terminal Servers. E os IPs utilizados serão os endereços IPs dos Terminal Servers.
6. Voltando para a Novo host, digite o nome TerminalServices no campo Nome e na caixa
Endereço IP, digite o endereço IP do primeiro Terminal Server que fará parte do farm. No
meu caso vou digitar 192.168.1.22, que é o endereço IP do servidor TS02. Clique em
Adicionar Host.
7. Perceba que a tela Novo host permanecerá aberta. Vamos agora criar o registro do tipo A
para o outro servidor, que é o TS05. No campo nome digite TerminalServices e no campo
Endereço IP digite o IP do outro servidor que fará parte do farm. No meu caso o IP é o
192.168.1.25. Clique em Adicionar Host e em Concluído.
8. Na Figura 17.42 temos o console do DNS com ambos os registros criados. Perceba que
temos dois registros com o mesmo nome, TerminalServices, que é o nome do nosso farm. E
ambos os registros possuem endereços IPs diferentes, que são exatamente os endereços IPs
dos Terminal Servers.
Nota: Além de criar os registros, você deve verificar se o recurso Round Robin está ativado no
servidor DNS. Para isso, no console do DNS clique com o botão direito do mouse sobre o nome do
servidor e clique em Propriedades. Na tela que será exibida clique na guia Avançado e certifique-se
que a opção Ativar Rodízio esteja habilitada. Clique em OK. Para todos os detalhes sobre Round
Robin no DNS, consulte o Módulo 16.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Fabiano
Luciana
Rodolfo
Helio
Exemplo prático: Fase 6 – Para testar as conexões com o farm, siga os passos indicados a seguir:
1. Efetue logon com a conta de usuário Administrador do domínio em uma estação de trabalho
do domínio ou em um outro servidor. Para esse exemplo vou utilizar o servidor TS03 com
cliente.
3. Agora informe as credenciais da conta de usuário e clique em OK. Para esse exemplo
utilizarei as credenciais das contas de usuário que citei acima.
4. Após a conexão ser estabelecida, crie novas conexões com as demais contas de usuários,
sempre utilizando o nome TerminalServices.
6. Para isso, efetue o logon no console do servidor TS01 com a conta de usuário
Administrador do domínio. Esse é o servidor onde instalamos o TS Session Broker.
7. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Gerenciador
de Serviços de Terminal.
8. Será aberto o console no qual você poderá gerenciar todas as sessões do Terminal Services.
Clique com o botão direito do mouse sobre Gerenciador de Serviços de Terminal e
selecione a opção Importar do Agente de Sessão TS.
9. Na tela que será aberta, digite o nome ou IP do servidor no qual instalamos o TS Session
Broker. No meu caso, instalei no servidor TS01. Clique em OK.
10. Observe que será adicionado um novo grupo no console, chamado Agente de Sessão TS
(TS01).
11. Clique duas vezes sobre esse grupo. Observe que é exibido o nome do farm,
TerminalServices. Clique duas vezes sobre o nome do farm. Serão exibidos os servidores
que fazem parte do farm. No meu caso, TS02 e TS05.
12. Clique com o botão direito do mouse sobre cada um dos servidores e clique em Conectar-
se. Seu console deverá estar conforme ilustra a Figura 17.43.
13. Agora clique sobre o nome do farm, TerminalServices. Observe que serão listadas todas as
conexões estabelecidas com os servidores do nosso farm.Temos as sessões conectadas ao
console dos servidores, do usuário administrador, e temos também as sessões dos demais
usuários. São três sessões estabelecidas com o servidor TS02 e 2 sessões estabelecidas com
o servidor TS05. Ou seja, automaticamente os usuários foram redirecionados para os
Terminal Servers, de forma automática e transparente.
14. Ao clicar com o botão direito do mouse sobre uma conexão, você poderá por exemplo,
enviar uma mensagem para o usuário, desconectar uma sessão ou efetuar o logoff de uma
sessão.
Agora suponha que você precisa fazer uma manutenção no servidor TS02, o qual faz parte do farm
do TS Session Broker. Nesse caso você poderá configurar esse servidor de tal forma que novas
conexões não sejam estabelecidas com esse servidor. Com isso, as novas solicitações de conexão
serão encaminhadas para os outros servidores do farm. E caso esse servidor que entrará em
manutenção possua sessões ativas, os usuários poderão se reconectar com essas sessões.
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
Para fazer essa configuração no Terminal Server, siga os passos do exemplo abaixo.
Exemplo prático: Para bloquear a criação de novas sessões no Terminal Server, siga os passos
indicados a seguir:
1. Efetue o logon com a conta de usuário Administrador do domínio no servidor TS02, o qual
entrará em manutenção.
2. Clique em Iniciar -> Ferramentas Administrativas -> Serviços de Terminal -> Configuração
de Serviços de Terminal.
3. No painel central, na sessão Editar Configurações – Geral, clique duas vezes sobre Modo de
logon do usuário.
Permitir todas as conexões: essa é a opção padrão e define que as sessões poderão ser
estabelecidas com o Terminal Server.
Permitir reconexões, mas impedir novos logons: essa opção define que novas conexões
não serão permitidas, porém conexões existentes poderão ser reconectadas.
Permitir reconexões, mas impedir novos logons até que o servidor seja reiniciado: essa
opção define que novas conexões não serão permitidas até que o servidor seja reiniciado,
porém conexões existentes poderão ser reconectadas.
É isso pessoal, esse é o TS Session Broker. Vamos agora para o último tópico deste módulo, onde
falaremos um pouquinho sobre a impressão no Terminal Services.
Impressão no Terminal Services
No Windows Server 2008 o serviço de impressão no Terminal Services foi melhorado com a adição
do Terminal Services Easy Print driver e com algumas novas políticas de grupo relacionadas com
esse novo recurso. Esse driver permite que os usuários possam imprimir documentos a partir de
suas sessões, seja através de uma RemoteApp ou através de uma sessão com a área de trabalho de
um servidor, de forma confiável. É possível imprimir diretamente na impressora do computador
local de uma forma bem simplificada. Isso, conseqüentemente, proporciona para os usuários um
maior nível de experiência durante o trabalho em sessões com o Terminal Server.
Com relação as políticas de grupo, ou GPOs, temos a opção de definir que somente a impressora
padrão dos computadores clientes poderão ser redirecionadas para as sessões dos usuários. Com
isso, diminuímos a quantidade de impressoras que o spooler deve enumerar. O nome dessa política
é Redirecionar somente a impressora cliente padrão. Podemos ainda impedir o redirecionamento das
impressoras para as sessões através da política Não permitir redirecionamento de impressoras
Todos os Direitos Reservados – Instituto Alpha Educação a distância e Editora Ltda ME
(www.institutoalpha.net.br) – Júlio Battisti Cursos e Cursos Ltda (www.juliobattisti.com.br).
Windows Server 2008 - Curso Completo: Teoria, Implementação, Administração e Segurança
Professor: Júlio Battisti - webmaster@juliobattisti.com.br
cliente. Para maiores informações sobre todas as configurações do Terminal Services via GPO,
visite o site abaixo. É importante lembrar que no Módulo 18 nós veremos todos os detalhes sobre as
GPOs no Windows Server 2008.
http://technet.microsoft.com/en-us/library/cc731795.aspx
O interessante desse recurso é que ele suporta uma quantidade enorme de impressoras novas e
antigas, sem a necessidade de instalação de drivers adicionais no Terminal Servers.
Para que os clientes possam utilizar o driver Easy Print, os requisitos abaixo deverão ser atendidos:
Por padrão, o Windows Vista SP1 suporta o driver Easy Print, ou seja, ambos os requisitos
acima são atendidos.
O Windows XP SP3 atende apenas o requisito do cliente RDC 6.1. Porém, essa versão do
sistema operacional não atende o requisito do Microsoft .NET Framework 3.0 SP1. Para
fazer o download desse componente, acesse o site abaixo:
http://www.microsoft.com/downloads/details.aspx?familyid=333325FD-AE52-4E35-B531-
508D977D32A6&displaylang=en
O Windows Server 2008 atende ambos os requisitos. Porém, por padrão, o .NET
Framework 3.0 SP1 não está instalado. Você pode instalar esse recurso através do console
Gerenciador de Servidores ou através da linha de comando. Para isso, siga os passos do
exemplo abaixo.
Exemplo prático: Para instalar o .NET Framework 3.0 SP1 no Windows Server 2008, siga os
passos indicados a seguir:
1. Efetue logon no Windows Server 2008 que atuará como cliente. Utilize a conta de usuário
Administrador.
4. Na tela que será exibida, expanda a opção Recursos do .NET Framework 3.0. Selecione as
opções .NET Framework 3.0 e Visualizador XPS. Clique em Próximo.
5. Na próxima tela clique em Instalar e aguarde até que a instalação seja concluída. Clique em
Fechar.
6. Outra forma de instalar esse componente é através da linha de comandos. Para isso clique
em Iniciar -> Todos os Programas -> Acessórios -> Prompt de Comando.
7. Digite o comando pkgmgr.exe /iu:NetFx3 e pressione a tecla Enter. Agora é só aguardar até
que o componente seja instalado.
No lado do Terminal Server nada precisa ser feito, pois o Terminal Services Easy Print driver já
vem habilitado por padrão. Porém, para que esse recurso seja utilizado pelos clientes, estes precisam
atender aos dois pré-requisitos informados anteriormente.
Ainda sobre as políticas de grupo, temos duas novas políticas que foram adicionadas no Windows
Server 2008:
Usar primeiro o driver de impressora Easy Print dos Serviços de Terminal: quando
habilitada, essa política define que o driver Easy Print será utilizado em primeiro lugar
durante a instalação das impressoras clientes. Se por algum motivo esse driver não puder
ser utilizado, será utilizado um outro driver que esteja disponível no Terminal Server e que
seja compatível com a impressora que está sendo instalada. E se mesmo assim nenhum
driver for encontrado, a impressora cliente não poderá ser utilizada via Terminal Services.
Por padrão, essa política não está habilitada.
Na Figura 17.44 temos uma impressora que foi redirecionada de um computador local para a sessão
remota do usuário. Observe que a impressora é identificada com a palavra “redirecionada”. Se você
clicar em Preferências, terá as mesmas opções que estão disponíveis no computador local do
usuário.
Quando uma impressora local é redirecionada para a sessão remota de um usuário, se você acessar
as propriedades dessa impressora na sessão remota, você poderá visualizar que o modelo da
impressora estará configurado como Terminal Services Easy Print, conforme ilustra a Figura 17.45.
Conclusão
Com isso chegamos ao fim desse módulo. Tenho certeza que os conceitos e práticas aqui
apresentados serão muito úteis em seu dia-a-dia, seja para aprender a trabalhar com o Terminal
Services ou para implementá-lo em uma rede corporativa.
Iniciamos o módulo falando sobre o Remote Desktop, um recurso que nos permite acessar
remotamente as estações de trabalho e servidores, e realizar as atividades necessárias de forma
remota, sem ser necessário estar na frente da máquina que está com problemas. Essa tecnologia,
além de facilitar o dia-a-dia dos administradores de rede, reduz o custo da empresa. O primeiro
custo a ser reduzido é com o tempo que o administrador perde para se deslocar até uma máquina
com o problema, o que conseqüentemente reduz o tempo no qual o chamado é fechado. E isso,
como conseqüência, faz com que os usuários fiquem menos tempo parados e produzam mais, o que
significa lucro para as empresas. É possível também reduzir custos com viagens, custos com
ferramentas de terceiros, e assim por diante.
Mostramos toda a teoria relacionada com o Remote Desktop e como utilizá-lo. Vimos também
como liberar o acesso remoto para os usuários através do Remote Desktop, processo esse bem
Após concluir a apresentação do Remote Desktop, entramos mais a fundo no Terminal Services,
onde mostramos toda teoria e prática sobre os seguintes componentes:
TS Gateway Manager: esse console nos permite configurar as políticas de autorização que
controlarão o acesso remoto aos recursos da rede da empresa. Você pode definir quem
poderá acessar os servidores TS Gateway através das Terminal Services Connection
Authorization Policy (TS CAP) e também quais recursos internos poderão ser acessados
através do TS Gateway, utilizando a Terminal Services Resource Authorization Policy (TS
RAP).
TS Web Access Administration: esse console nos permite acessar os servidores IIS que
armazenam as aplicações Web. Nesse console você pode visualizar a lista de RemoteApps
disponíveis e também realizar conexões remotas, caso tenha acesso.