Ліцензування термінальних служб
Щоб термінальний сервер продовжував приймати з'єднання після закінчення 120 днів, ви повинні настроїти Terminal Services Licensing. WS2K3 додає нові опції і нові рівні складності до ліцензування Terminal Services. Для підключення до WS2K3 клієнтам знадобляться нові маркери ліцензій WS2K3. Ці маркери (tokens) видаються тільки сервером WS2K3 Terminal Services License - сервери ліцензій Win2K не можуть видавати нові маркери WS2K3. Поэтому если в вашей среде уже есть сервер лицензий Win2K, вам нужно как можно быстрее обновить его до WS2K3 или активировать отдельный сервер лицензий WS2K3.
Компоненти ліцензування Terminal Server
Термін "постійний" не зовсім правильний, оскільки ліцензія на пристрій закінчується через випадкове число днів (від 52 до 89). Це зроблено для того, що якщо пристрій більше не використовується для доступу до термінального сервера (або переінстальована ОС), ліцензія повертається назад. Вперше це реалізовано в Win2K Service Pack 3 (SP3).
WS2K3 Terminal Services Licensing может поддерживать семь типов маркеров лицензий. Крім CAL, необхідних для підключення до термінальних серверів Win2K, є чотири нові типи CAL, специфічних для WS2K3 Terminal Services
Встроенных лицензий для WS2K3 Terminal Services больше не существует. Вам необхідно купувати CAL для всіх пристроїв або користувачів, що підключаються до таких серверів, незалежно від операційної системи клієнта.
- WS2K3 Terminal Server Device CAL - Ці ліцензії запитуються у сервера ліцензій термінальними серверів WS2K3, ліцензованими в режимі "Per Device"
- WS2K3 Terminal Server User CAL - Для термінальних серверів WS2K3, що ліцензуються в режимі "Per User"
- Ліцензії WS2K3 Terminal Server External Connector - Ці ліцензії дозволяють необмежену кількість з'єднань зовнішніх користувачів до термінального сервера. Ці ліцензії ще не доступні.
- Win2K Terminal Services CAL - Термінальні сервери Win2K запитують ці ліцензії у сервера ліцензій для клієнтів, що виконують ОС, відмінну від Win2K Professional або Windows XP. Ці ліцензії потрібні тільки якщо у вас є сервери Win2K.
- Ліцензії Win2K Terminal Services Internet Connector - Ці ліцензії дозволяють до 200 одночасних з'єднань до термінального сервера Win2K через інтернет для не-співробітників вашої організації.
- Вбудовані ліцензії Win2K - Клієнти, які виконують Win2K Pro або Windows XP отримують маркер ліцензії з вбудованого пулу маркерів ліцензій при підключенні до термінального сервера Win2K.
На наступному малюнку показані ліцензії, доступні в Terminal Server Licensing. Обратите внимание, что лицензии для пользователей обрабатываются отдельно от лицензий для устройств. Призначені для користувача ліцензії - нові в WS2K3. Тепер термінальні сервери можна перевести в режим ліцензування Per Device або Per User. Один сервер Terminal Services Licensing може обслуговувати різні маркери в будь-якій комбінації, якщо встановлені відповідні ліцензії.
Інсталяція Terminal Server Licensing
Якщо у вас кілька серверів, то Terminal Server Licensing слід встановити на сервері, відмінному від термінального. Якщо ви використовуєте домени, то повинні встановити службу ліцензування на контролері домену.
Для установки Terminal Server Licensing, відкрийте в панелі управління аплет Add / Remove Programs. виберіть Add / Remove Windows Components. У майстра установки компонентів виберіть Terminal Server Licensing.
Если вы устанавливаете Terminal Server Licensing на сервер в AD, вы можете выбрать один из вариантов установки: Domain/Workgroup и Enterprise. Ці режими визначають, як служба ліцензування буде сповіщати про себе для термінальних серверів. Если вы находитесь в рабочей группе или домене, отличном от AD, опция Enterprise будет недоступна.
Я поясню процес виявлення в наступному розділі, а поки ви повинні зрозуміти, що сервер ліцензування Enterprise буде виявлятися термінальними серверами з будь-якого довірчого домену, але тільки в межах того ж сайту AD, що і сервер ліцензування.
Після установки Terminal Server Licensing, сервер ліцензування необхідно активувати, звернувшись в Microsoft Clearinghouse. Запустіть утиліту адміністрування Terminal Server Licensing з меню Start, клацніть правкою кнопкою миші на сервері і виберіть Activate Server. З'явиться майстер активації сервера ліцензування:
- Automatic connection - Це найпростіший метод активації. Він вимагає, щоб сервер Terminal Server Licensing мав підключення до інтернет через порт 443 (SSL). Заповніть інформацію про компанію та натисніть Activate.
Після активації сервера ліцензування він негайно починає видавати тимчасові ліцензії для серверів Win2K і WS2K3, які дають адміністратору 90-денний період, протягом якого необхідно встановити постійні CAL на сервер ліцензування.
У разі оновлення сервер Win2K з встановленої службою Terminal Server Licensing до WS2K3, вам необхідно повторно активувати службу ліцензування. Для цього виберіть Re-Activate Server в Advanced в меню Actions в утиліті адміністрування Terminal Server Licensing
Для додавання пакета ліцензій, клацніть правою кнопкою в утиліті адміністрування Terminal Server Licensing і виберіть Install Licenses. Вам буде представлений той же вибір, як при активації сервера. Если вы устанавливаете розничные лицензии, этот тип лицензий будет выбран автоматически. Однак, якщо ви встановлюєте ліцензії через Select, Open або інші угоди Microsoft, то вам слід вибрати тип додається ліцензії:
Виявлення сервера ліцензування
При запуску термінального сервера, він намагається знайти сервер ліцензування. Метод пошуку залежить від середовища сервера та режиму роботи сервера ліцензування. Ви можете перевизначити процес виявлення, явно вказавши в реєстрі сервери ліцензування. У Win2K ви могли вказати тільки один сервер ліцензування, а WS2K3 дозволяє вказати кілька. Додайте підключи в ключ
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParametersLicenseServers.
Кожен підключ повинен бути названий по імені сервера ліцензування.
Якщо ви не вкажіть явно сервери ліцензування в реєстрі, то процес їх знаходження працює наступним чином: термінальні сервери в робочій групі або в домені, відмінному від AD, посилають широкомовні запити mailslot. Відповідно, таким чином можуть бути виявлені тільки сервери, що знаходяться в тій же підмережі.
Термінальні сервери AD спочатку шукають сервери ліцензування в режимі ліцензування Enterprise. Для цього вони роблять запит LDAP в пошуку записи CN TS-Enterprise-License-Server, вказуючи свій сайт. Потім термінальний сервер звертається до кожного контролера домену в сайті в пошуку доменного сервера ліцензування. Нарешті, термінальний сервер буде звертатися до всіх контролерам в своєму домені.
Після виявлення термінальний сервер кешує всі знайдені сервери ліцензування в реєстрі в ключах:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSLicensingParametersDomainLicenseServerMulti.
Важливо зауважити, що якщо знайдені корпоративний (Enterprise) і доменний сервери ліцензування, то термінальний сервер завжди вважатиме за краще використовувати доменний сервер, навіть якщо для цього необхідно перейти кордони сайту. Якщо жодного сервера ліцензування не знайдено, термінальний сервер буде продовжувати процес пошуку щогодини. Як тільки виявлений один або кілька серверів ліцензування, процес виявлення не повторюється до тих пір, поки в реєстрі доступні дані про кешованих серверах.
Всякий раз при підключенні клієнта до термінального сервера, останній звертається до сервера ліцензування для підтвердження існуючої ліцензії або видачі нової ліцензії. Тип лицензии, который выдает терминальный сервер, зависит от режима лицензирования - Per Device или Per User. Ви можете встановити режим в утиліті Terminal Services Configuration або груповими політиками. За замовчуванням використовується режим Per Device, але якщо ви оновили термінальний сервер Win2K, який був в режимі Internet Connector, то режим ліцензування буде Per User.
Щоб підтримувати маркери ліцензій як Per User, так і Per Device, термінальний сервер повинен бути в режимі Per User.
Для кожного з'єднання клієнта сервер виконує наступні дії:
1. Незалежно від режиму ліцензування, термінальний сервер спочатку запитує пристрій клієнта щоб визначити, чи є в реєстрі маркер пристрою. Якщо маркер знайдений, термінальний сервер звертається до сервера ліцензування, який вказаний в маркері, для підтвердження ліцензії. Якщо це тимчасова ліцензія, сервер ліцензування призначить постійну ліцензію, яка буде збережена в реєстрі клієнта.
2. Якщо пристрій клієнта не має маркера, то наступний крок залежить від режиму ліцензування термінального сервера:
- a. Режим ліцензування Per-User - Термінальний сервер запитує облікові дані користувача і здійснює аутентифікацію. Потім він запитує сервер ліцензування або перевірити, або видати ліцензію для користувача. Маркер ліцензії зберігається на сервері ліцензування.
- b. Режим ліцензування Per-Device - Термінальний сервер запитує тимчасовий маркер у сервера ліцензування і записує його в реєстр клієнта. Після аутентифікації користувача термінальний сервер вказує сервера ліцензування позначити тимчасовий маркер як перевірений. Якщо користувач не аутентифицироваться, маркер негайно повертається в пул доступних ліцензій.
3. В любом случае, если сервер лицензирования не имеет свободных маркеров, производится обращение к другому серверу лицензирования. Если первый сервер лицензирования знает, что другой сервер лицензирования имеет доступные лицензии, он запросит маркер от лица терминального сервера. Якщо сервер ліцензування не знає про інших серверах ліцензування, то термінальний сервер запитує наступний сервер ліцензування, кешированний в його реєстрі.
У більшості випадків сервери ліцензування інформують одна одну про те, які ліцензії додані або видалені з їх пулів. Цей процес називається "повідомленням про ліцензії" (License Token Announcement) і відбувається в наступних випадках:
- Між доменними серверами ліцензування в межах одного домену
- Від корпоративних серверів ліцензування до доменних серверів ліцензування
- Від серверів ліцензування Win2K до серверами ліцензування WS2K3
License Server Administration
Після того, як ви активували ваші сервери ліцензування та інсталювали ліцензії, подальше адміністрування майже не потрібно. Однако, вам следует ознакомиться с несколькими утилитами, чтобы выявлять и устранять возможные проблемы с лицензированием.
WS2K3 Resource Kit містить утиліту командного рядка LSREPORT.EXE. З її допомогою ви можете отримати список маркерів, призначених сервером ліцензування.
Є ще одна утиліта, Client License Test Tool, TSCTST.EXE. Вона використовується для запиту докладної інформації щодо маркерів пристроїв, інстальованих на зазначеному пристрої. В выводе утилиты содержится имя сервера лицензирования, выдавшего маркер, диапазон, пользователь, который аутентифицировался при выдаче маркера, идентификатор лицензии, срок действия. Якщо вказати опцію / A, утиліта також покаже версію сертифіката сервера, версію ліцензованого продукту, ідентифікатор апаратури, ідентифікатор платформи клієнта, ім'я компанії.
Утилита License Server Viewer - LSVIEW.EXE - также содержится в Resource Kit. Вона здійснює пошук серверів ліцензування і виводить всі сервери ліцензування термінальних служб. Она также определяет тип сервера лицензирования - Domain or или Enterprise - и создает журнал с диагностической информацией.
Групові політики для сервера ліцензування
WS2K3 включає кілька політик для управління ліцензуванням. З їх допомогою можна легко централізовано налаштувати сервери ліцензування та підтримувати їх цілісність.
- License Server Security Group - За замовчуванням, сервер ліцензування видає маркери клієнтам, що підключаються до будь-яких термінальних серверів. Якщо ви включите цю настройку, то сервер ліцензування буде відповідати на запити лише тих термінальних серверів, які знаходяться в локальній групі Terminal Services Computers. Якщо сервер ліцензування є контролером домену, це локальна доменна група. Включення цієї настройки запобігає небажаним термінальних серверів запитувати ліцензії і змушує використовувати окремий пул ліцензій для груп серверів. Якщо у вас є кілька серверів ліцензування для певної групи термінальних серверів, додайте сервери ліцензування в цю групу.
Група Terminal Services Computers за замовчуванням порожня; додайте в неї сервери перед тим, як включити політику, щоб запобігти відмовам у з'єднанні.