Verbindungskonfiguration in Terminal Server

Gegenstand dieses Artikels ist das Terminal Server-Verwaltungstool "Verbindungskonfiguration".

Wenn Sie dieses Tool öffnen, stellen Sie fest, dass es eine Verbindung gibt, die standardmäßig hergestellt wird (die RDP-TCP-Verbindung). In der Regel ist dies die einzige Verbindung, die definiert werden muss. Sie müssen nichts tun, um diese Verbindung zu aktivieren.

Bei der RDP-TCP-Verbindung handelt es sich um eine Socketverbindung über TCP-Port 3389. In diesem Tool können Sie festlegen, wie lange Clients verbunden bleiben dürfen, ob beim Herstellen einer Verbindung durch einen Client eine bestimmte Anwendung ausgeführt werden soll, welche Verschlüsselungsstufe verwendet wird, und so weiter.

Sie können pro Transport, Typ und Adapter je eine Verbindung definieren. Bei einem normalen Terminalserver mit einem Adapater können Sie also genau eine Verbindung definieren, weil nur ein Verbindungstyp zur Verfügung steht. Terminal Server 4.0 allein, ohne zusätzlich installierte Dienste, unterstützt NUR RDP-TCP-Verbindungen. Wenn Sie einen zweiten Adapter hinzufügen,können Sie eine zweite RDP-TCP-Verbindung für diesen Adapter definieren.

Sie können "Metaframe" von Citrix auf dem Terminalserver installieren, damit statt des RDP-Clients von Microsoft die ICA-Clients von Citrix verwendet werden können, um eine Verbindung zum Terminalserver aufzubauen. Sowohl in diesem Tool als auch im Benutzer-Manager finden Sie Optionen, die erst verfügbar sind, wenn Sie "Metaframe" auf dem Terminalserver installiert haben.

Auf einem Citrix-WinFrame-Server (basierend auf Windows NT 3.51) oder auf einem Terminalserver, auf dem "Metaframe" installiert ist, steht Kunden die Option offen, verschiedene Verbindungstypen für verschiedene ICA-Clients zu erstellen (zum Beispiel Macintosh-Clients, Asynch-Clients und SPX-Clients).

Wenn Sie mit der rechten Maustaste auf eine definierte Verbindung klicken, wird ein Menü angezeigt, mit dessen Hilfe Sie die Verbindungskonfiguration bearbeiten können.

Beachten Sie, dass in diesem Menü die Optionen "Name", "Typ" und "Transport" für die Verbindung nicht verfügbar sind. Den Namen können Sie unter "Verbindung/Umbenennen" ändern. Die Einstellungen für "Typ" und "Transport" können nicht geändert werden.

In der Dropdown-Liste der LAN-Adapter finden Sie den Eintrag "Alle LAN-Adapter..." sowie die weiteren installierten Adapter. Beachten Sie, dass die definierte Verbindung standardmäßig für alle installierten Adapter gilt, sodass Sie keine neuen Verbindungen definieren müssen, nur weil Sie mehrere Adapter haben. Sie können neue Verbindungen definieren, müssen es aber nicht.

"Maximale Anzahl von Verbindungen" bedeutet genau das, was es aussagt. Diese Option hat nichts mit Lizenzierungsfragen zu tun. Diese Einstellung regelt die maximal zulässige Anzahl an Socketverbindungen. Die Standardeinstellung ist "Unbegrenzt".

Wenn Sie im Fenster "Verbindung bearbeiten" die Option "Clienteinstellungen" wählen, sehen Sie eine Liste mit Optionen, die primär für den Citrix-ICA-Client gedacht sind. Diese Einstellungen gelten nicht für den RDP-Client. Da der RDP-Client nur einen einzigen Datenkanal zwischen dem Client und dem Server einrichtet, ist eine explizite Zuordnung zu lokalen Geräten nicht möglich. Innerhalb einer RDP-Clientsitzung sind alle "lokalen" Ressourcen dem Terminalserver zugeordnet.

Die Citrix-ICA-Clients wurden jedoch so modifiziert, dass mehrere Datenkanäle zwischen Client und Server eingerichtet werden. Diese Einstellungen wurden für Kunden definiert, die "Metaframe" auf den Terminalserver laden und ICA-Clients verwenden.

Wenn Sie im Fenster "Konfiguration bearbeiten " auf "Erweitert" klicken, wird eine Vielzahl von Optionen angezeigt, von denen einige jedoch wiederum nur für den Citrix-ICA-Client gelten.

Beachten Sie die Auswahlmöglichkeiten "Benutzerkonfiguration übernehmen", "Client-Konfiguration übernehmen" und "Client-/Benutzerkonfiguration übernehmen". Auswahlmöglichkeiten für die Benutzerkonfiguration sind als Optionen für bestimmte Benutzer auch im Benutzer-Manager von Terminal Server verfügbar. Optionen für die Client-Konfiguration können auf dem Client mit dem Client-Konfigurationsmanager festgelegt werden, der mit der Client-Software installiert wird, oder in der Registrierung des Clients (bei 32-Bit-Einstellungen) bzw. in der .ini-Datei (für 16-Bit-Einstellungen).

Alle Werte, die Sie in diesem Fenster festlegen, gelten für alle Verbindungen auf dem Terminalserver (und für keine anderen Verbindungen, unabhängig von den jeweiligen Domänenbeziehungen - diese Einstellungen sind Terminal Server-spezifisch).

Beachten Sie außerdem, dass alle hier festgelegten Werte die Einstellungen für Benutzer im Benutzer-Manager überschreiben.

Es folgt eine Beschreibung der diversen erweiterten Optionen:

Anmeldung

Wenn Sie die Anmeldeoption deaktivieren, deaktivieren Sie damit auch die Client-Verbindungen. Dies hindert Benutzer, die keine Clients sind, nicht daran, eine Verbindung zum Server aufzubauen (dazu müssten Sie den Server- oder Netlogon-Dienst beenden oder anhalten). Wenn Sie Clients daran hindern möchten, Verbindungen aufzubauen und Terminalsitzungen einzurichten, können Sie dies hier tun.

HINWEIS: Wenn Sie daran gewöhnt sind, den Server- oder Netlogon-Dienst zu beenden oder anzuhalten, um Benutzer daran zu hindern, eine Verbindung zum Server herzustellen, werden Sie versucht sein, auch die Terminaldienste anzuhalten. Die Terminaldienste können jedoch nicht angehalten werden. Sie können diese Dienste zwar in den manuellen oder deaktivierten Modus versetzen, nach einem Neustart befinden sie sich jedoch wieder im automatischen Modus. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Die Terminaldienste sind für die korrekte Funktion des Terminalservers unerlässlich.

Hinweis: Wenn Sie den Server- oder Netlogon-Dienst anhalten, können Terminal Server-Clients weiterhin Verbindungen herstellen. Bei diesen Verbindungen wird ein gänzlich anderer Verbindungspfad verwendet. Der Weg der Wahl, Client-Verbindungen zu verhindern, ist auch in diesem Fall das Deaktivieren der Anmeldeoption, hier im Tool "Verbindungskonfiguration". Sie können Verbindungen selbstverständlich auch mithilfe entsprechender Berechtigungen verweigern (Details entnehmen Sie den nachstehenden Abschnitten in diesem Artikel).

Zeitlimit (in Minuten)

Hier können Sie festlegen, für wie lange eine Verbindung aufrecht erhalten werden soll, wie lange eine getrennte Sitzung im Speicher gehalten werden soll, und wie lange eine Sitzung inaktiv sein darf, bevor sie getrennt wird.

Das Zeitlimit für eine Verbindung definiert, wie lange ein Client verbunden bleiben darf (unabhängig davon, ob sich die Sitzung im Leerlauf befindet oder nicht).

Das Zeitlimit für getrennte Sitzungen legt fest, wie lange eine getrennte Sitzung im Speicher gehalten werden soll. Wenn ein Client die Verbindung trennt (statt sich abzumelden), ist die Sitzung nicht offiziell beendet. Sie wird in diesem Fall im Speicher gehalten, damit der Client die Verbindung wieder aufnehmen und die Sitzung wieder einrichten kann. Anwendungen, die zuvor ausgeführt wurden, sollten also noch verfügbar sein.

Das Zeitlimit für Leerlaufsitzungen legt fest, wie lange die Verbindung für eine Sitzung ohne jegliche Aktivität aufrecht erhalten werden soll. Wenn Sie die Uhr in der Menüleiste aktivieren, wird kontinuierlicher Datenverkehr in ausreichender Menge generiert, um zu verhindern, dass eine Sitzung in den Leerlauf gerät.

Wenn Sie die Option "Kein Zeitlimit" deaktivieren, beträgt die Standarddauer einer Verbindung 10 Minuten und die Zeitspanne bis zur Feststellung des Leerlaufzustands 30 Minuten.

Eine Festlegung dieser Werte in diesem Tool betrifft jeden Client, der diese Verbindung nutzt. Wenn Sie die entsprechenden Werte für einen bestimmten Benutzer ändern möchten, können Sie dies im Benutzer-Manager tun. Denken Sie jedoch daran, dass das Tool "Verbindungskonfiguration" Werte im Benutzer-Manager überschreibt. Wenn Sie jedoch sowohl erweiterte Optionen im Tool "Verbindungskonfiguration" als auch separate Optionen für individuelle Benutzer im Benutzer-Manager benötigen, müssen Sie mehrere Netzwerkadapter zu Ihrem Terminalserver hinzufügen und für jeden dieser Adapter eine eigene Verbindung definieren.

Sicherheit

Niedriger Verschlüsselungsgrad = Microsoft 40-Bit-Verschlüsselung nur in Richtung vom Client zum Server. Mittlerer Verschlüsselungsgrad = Wie beim niedrigen Verschlüsselungsgrad, jedoch in beide Richtungen. Hoher Verschlüsselungsgrad (kein Export) = 128-Bit-Standard-RC4-Verschlüsselung
Hoher Verschlüsselungsgrad (Export) = 40-Bit-Standard-RC4-Verschlüsselung

NT-Standardauthentifizierung verwenden: Zwingt jeden Client dieser Verbindung, die Windows NT-Datei "Msgina.dll" zu verwenden. Andernfalls kann die GINA-Datei eines Fremdanbieters verwendet werden.

Autologon (automatisches Anmelden)

Wenn Benutzername, Domäne und Kennwort bei dieser Option korrekt eingegeben werden, wird ein Client nach der Verbindung automatisch als der betreffende Benutzer angemeldet. Bei dieser Vorgehensweise gibt es offensichtliche Nachteile (zum Beispiel in Bezug auf Profile und Basisverzeichnisse). Da Clients gegenüber dem System anhand ihrer eindeutigen Sitzungs-IDs identifiziert werden (und nicht auf der Basis ihrer Anmeldenamen), könnten theoretisch alle Clientbenutzer denselben Anmeldenamen verwenden.

Startprogramm

Hier können Sie ein Programm festlegen, das für jeden Clientbenutzer nach dem Aufbau der Verbindung und erfolgter Anmeldung ausgeführt wird.

Wenn Sie hier ein Programm angeben, ist dies das einzige Programm, das im Rahmen dieser Verbindung ausgeführt wird. Der Benutzer stellt eine Verbindung her, meldet sich an und führt die Anwendung aus (sofern dies nicht durch Sicherheitseinstellungen verhindert wird), ihm wird jedoch kein Desktop angezeigt. Wenn der Benutzer die Anwendung schließt, wird die Sitzung beendet. Dieses Feature kann in einer Umgebung sehr nützlich sein, in der es nur eine Anwendung gibt.

Benutzerprofilüberschreibungen: Hintergrundbild deaktivieren

Ein Deaktivieren des Hintergrundbildes kann die zum Neuaufbau des Bildschirmbildes erforderliche Zeit erheblich reduzieren. Dies ist insbesondere für Clients nützlich, welche die Verbindung über RAS herstellen.

Bei abgebrochener Verbindung oder Erreichen des Zeitlimits für die Sitzung...

Wird eine Verbindung abgebrochen oder das Zeitlimit überschritten, haben Sie die Möglichkeit, die Sitzung zu trennen, wobei die Sitzung intakt bleibt und der Benutzer die Sitzung wieder aufnehmen und seine Arbeit fortsetzen kann, oder Sie können die Sitzung zurücksetzen, wodurch die Sitzung beendet wird.

Getrennte Verbindungen wiederherstellen...

Diese Option wird nur für Citrix-Geräte verwendet, die direkt über einen seriellen Port die Verbindung aufbauen.

Von einem beliebigen Client: Falls Ihre Sitzung an einem Gerät getrennt wird, können Sie bei dieser Option die Verbindung von jedem beliebigen Client wieder aufbauen.

Nur von diesem Client: Falls Ihre Sitzung getrennt wird, können Sie bei dieser Option die Verbindung von einem anderen Client-Gerät aus wieder aufbauen.

Spiegeln

Dieses Feature ist nur in Verbindung mit dem Citrix-ICA-Client verfügbar.

Ein weiteres Feature des Tools "Verbindungskonfiguration" ist das Menü "Sicherheit/Berechtigungen".

Benutzern oder Gruppen können bestimmte Berechtigungen für die jeweilige Verbindung zugewiesen werden. Berechtigungen wirken kumulativ (mit Ausnahme der Berechtigung "Kein Zugriff"), sodass ein Benutzer, der normalerweise Gastzugriff hat, aber auch Mitglied einer Gruppe mit Vollzugriff ist, Berechtigungen des Typs "Vollzugriff" hat.

Kein Zugriff

Wie der Name schon sagt, haben Sie bei dieser Option keinerlei Zugriff auf die Verbindung.

Gastzugriff

Bei dieser Berechtigung können Sie sich nur anmelden und abmelden. Gäste dürfen keine Sitzungen trennen oder getrennte Sitzungen wieder aufnehmen.

Benutzerzugriff

Bei dieser Option können Benutzer die folgenden Aktionen ausführen:

• Sich an- und abmelden.
• Informationen über den Terminal Server-Administrator oder über eine Eingabeaufforderung mithilfe des Befehls "Query" abfragen.
• Nachrichten über den Terminal Server-Administrator versenden.
• Eine erneute Verbindung zu getrennten Sitzungen aufbauen.
• Ihre eigene Sitzung trennen (wobei sie auf dem Terminalserver gespeichert bleibt).

Vollzugriff

Hierbei haben Sie zusätzlich zu den vorstehend genannten noch die folgenden Berechtigungen:

• Spiegeln (nur ICA-Clients)
• Sitzungen zurücksetzen
• Sitzungen löschen

Neben den Berechtigungen "Gast", Benutzer" und "Vollzugriff" gibt es noch einen feiner differenzierenden Berechtigungssatz mit der Bezeichnung "Beschränkter Zugriff", der verwendet wird, um die vorstehend genannten Aktionen einzeln zu gestatten oder zu verbieten.