终端服务器授权服务.docx
《终端服务器授权服务.docx》由会员分享,可在线阅读,更多相关《终端服务器授权服务.docx(25页珍藏版)》请在冰豆网上搜索。
终端服务器授权服务
MicrosoftWindowsServer 2003的终端服务器授权服务
MicrosoftCorporation
发布时间:
2003年5月
更新日期:
2005年5月
摘要
本白皮书介绍了Microsoft®Windows Server™ 2003产品系列的客户端许可证管理服务TerminalServerLicensing(终端服务器授权)。
终端服务器授权服务与终端服务器合作,在终端服务器客户端之间提供、编录和强制许可证策略。
本白皮书研究终端服务器授权服务的关键功能和组件,并解释该服务如何影响企业中的计算。
本文所含信息仅代表Microsoft公司在本文发布时的观点。
因为Microsoft必须顺应不断变化的市场条件,这些信息不应被视为Microsoft方面的承诺,同时Microsoft也不能保证本文发布之后其他任何信息的准确性。
本文档仅供参考。
MICROSOFT对本文档中的信息不提供任何形式的(包括明示或暗示的)保证。
用户有责任遵守所有适用的版权法。
在版权法所赋予权利的前提下,未经Microsoft公司明确的书面许可,任何人不得将本文复制、存储或引入可检索系统,或是以任何形式或通过任何方式(电子、机械、影印、录制或其他方式)传播本文的任何部分。
本文主题可能涉及Microsoft的专利、专利申请、商标、版权或其它知识产权。
除非获得Microsoft公司明确的书面许可,否则提供本文档并不代表许可您使用这些专利、商标、版权或其它知识产权。
©2005MicrosoftCorporation。
保留所有权利。
Microsoft、ActiveDirectory、Windows、Windows徽标和WindowsServer是MicrosoftCorporation在美国和/或其它国家(地区)的注册商标或商标。
本文中提及的实际公司和产品的名称可能是其各自所有者的商标。
简介
WindowsServer 2003操作系统系列提供了一个称作“终端服务器授权”(TerminalServerLicensing)的客户端许可证管理系统。
该系统允许终端服务器为连接到终端服务器的设备和用户获得及管理终端服务器客户端访问许可证(TSCAL)令牌。
终端服务器授权是Microsoft®Windows Server™2003标准版、Windows®Server 2003企业版以及WindowsServer 2003数据中心版的组件服务。
它可管理未许可、临时许可以及已获得客户端访问许可的客户端,并且支持运行WindowsServer 2003和MicrosoftWindows® 2000Server操作系统的终端服务器。
因此,它极大简化了系统管理员的许可证管理工作,同时最大限度减少组织购买的许可证数量不足或过多的情况。
终端服务器授权只能与终端服务器(TerminalServer)配合使用,而且不能与RemoteDesktopforAdministration一起使用。
TerminalServerforWindowsServer 2003(先前的Windows 2000Server应用程序服务器模式)通过其应用程序服务器模式,为使用各种设备的用户提供了部署和管理应用程序的能力。
在运行WindowsServer 2003的终端服务器上启动会话的每台设备或每个用户都必须拥有以下许可证之一:
1.WindowsServer 2003TerminalServer设备客户端访问许可证。
2.WindowsServer 2003TerminalServer用户客户端访问许可证。
3.WindowsServer 2003TerminalServerExternalConnector(外部连接器)。
注意:
可能还需要其它许可证,例如Microsoft或其它应用程序、操作系统和客户端访问许可证。
即便在WindowsServer 2003上使用了其它加载项产品,上述列表中的许可证也是必需的。
TerminalServicesLicensing服务与终端服务器客户端的许可授权紧密相关。
它不会对其它任何应用程序或服务进行许可,不会替换其它任何组件的授权服务或与其交互,也不会改变您的任何最终用户许可协议(EULA)授予您的权利和义务。
即便拥有终端服务器授权服务,您也仍然需要通过相应的销售渠道购买TSCAL。
TSCAL令牌是真实许可证的电子表示形式,但是它们本身并不是真正的许可证。
因此,即使丢失了许可证令牌,也不意味着您丢失了实际的许可证。
如果您有文档记录能够证明您购买了实际许可证,我们会重新向您发放许可证令牌。
反过来,仅仅因为您拥有许可证令牌并不意味着必须将其映射到某个实际的合法许可证。
TerminalServicesLicensing的设计目的在于管理这些许可证令牌,以允许管理员更准确地评估组织的许可证购买需求。
但是,在某些情况下,许可证令牌不应被映射到实际的许可证。
管理员应该尽最大努力来决定是否属于这种情况,并在需要时购买额外的许可证(但是不安装对应的许可证令牌)以解决这种矛盾的状况。
终端服务器授权的工作模式
终端服务器授权工作于如图1所示的几个组件之间。
这些组件包括:
支持终端服务器授权的许可证服务器、MicrosoftCertificateAuthorityandLicenseClearinghouse(微软证书颁发和许可授权中心)、一台或多台终端服务器以及终端服务器客户端。
单许可证服务器可支持多个终端服务器。
域中(或站点范围内)有一台或多台许可证服务器。
图1终端服务器授权的工作模式
MicrosoftCertificateAuthorityandLicenseClearinghouse
MicrosoftClearinghouse是由微软维护的设施,旨在激活许可证服务器和向许可证服务器发放客户端许可证密钥包。
客户端许可证密钥包是一组客户端访问许可证令牌的数字表示形式。
可通过TerminalServicesLicensing管理工具访问MicrosoftClearinghouse。
可以通过互联网、通过网页或通过电话直接与其进行联系。
许可证服务器
许可证服务器是安装了终端服务器授权的计算机。
许可证服务器保存了为一组终端服务器安装的所有TSCAL许可证令牌,并且对已经发放的许可证令牌进行跟踪。
一台许可证服务器可以同时为多台终端服务器提供服务。
终端服务器必须能够连接到某台已激活的许可证服务器,以便向客户端设备发放永久性的许可证令牌。
已经安装但尚未激活的许可证服务器只能发放临时性的许可证令牌。
终端服务器
终端服务器是安装了TerminalServer(终端服务器)服务的计算机。
它允许客户端访问完全运行在服务器上的、基于Windows的应用程序,并且支持服务器上的多个客户端会话。
当客户端连接到终端服务器时,终端服务器将确定客户端是否需要一个许可证令牌,从许可证服务器那里请求一个许可证令牌,然后将该许可证令牌传送给客户端。
受支持的许可证
截止本文写作之时,运行WindowsServer 2003的许可证服务器支持如下类型的许可证,并可管理各个类型与WindowsServer 2003TerminalServer和Windows 2000TerminalServices相关的对应令牌:
∙WindowsServer 2003TerminalServer设备客户端访问许可证。
这些许可证是为连接到运行WindowsServer 2003的终端服务器的已知设备购买的。
∙WindowsServer 2003TerminalServer用户客户端访问许可证。
这些许可证是为连接到运行WindowsServer 2003的终端服务器的已知用户购买的。
∙WindowsServer 2003TerminalServer外部连接器许可证。
购买这些许可证是目的是:
允许外部用户(例如,业务伙伴)与运行WindowsServer2003的终端服务器建立不限数量的连接。
需要注意的是,当前不支持在许可证服务器上安装ExternalConnector(外部连接器)令牌。
∙Windows 2000TerminalServices客户端访问许可证。
这些许可证是为连接到运行Windows2000的终端服务器的已知设备购买的。
∙Windows 2000TerminalServicesInternet连接器许可证。
购买这些许可证的目的是:
允许非雇员通过互联网访问运行Windows2000的终端服务器,最多允许同时建立200条匿名连接。
注意
连接到运行WindowsServer 2003的终端服务器的所有设备都需要拥有WindowsServer 2003TSCAL。
任何操作系统(包括Windows 2000专业版或其后续操作系统)都不能从内置许可证池中获得令牌。
∙Windows 2000内置许可证运行Windows 2000专业版或其后续操作系统的客户端在连接到运行Windows2000的终端服务器时,可以从内置的许可证池中获得令牌。
∙临时许可证当运行WindowsServer 2003的终端服务器请求WindowsServer 2003PerDeviceTSCAL令牌时,或者当运行Windows 2000的终端服务器请求Windows 2000TSCAL令牌时,假如许可证服务器没有令牌可以提供,它将向连接客户端发放一个临时性令牌(如果该客户端许可证当前没有令牌)。
许可证服务器跟踪这些令牌的发放和过期情况。
这些临时令牌的设计目的是:
为管理员在许可证服务器上安装许可证令牌提供充裕的时间。
而并不是在一定时间内提供对终端服务器的“免费”访问。
根据WindowsServerEULA,必须购买许可证才能访问终端服务器。
EULA中并未规定可以在没有相应许可证的情况访问终端服务器。
重要
虽然可以在运行WindowsServer 2003的终端服务器上安装上述所有类型的许可证令牌,但是Windows 2000的令牌类型仅仅供连接到运行Windows2000的终端服务器的客户端使用。
若要连接到运行WindowsServer2003的终端服务器,WindowsServer 2003令牌是必需的。
功能及优点总结
TerminalServicesLicensing服务包括以下功能和优点:
∙对TSCAL和对应的令牌实施集中管理
∙许可证的可说明性和报告
∙对各种通信渠道和购买计划的简单支持
∙最大限度降低对网络和服务器的影响
本文剩余部分将探讨针对WindowsServer2003的终端服务器授权的设计目标和实现过程,同时阐述企业利用该服务器的具体方式。
服务的部署
终端服务器授权服务是与终端服务器不同的实体。
在大多数大型部署中,许可证服务器部署在一台单独的服务器上,但在较小型的部署中,它可以与终端服务器共存于一台服务器上。
终端服务器授权是一个对系统影响很小的服务。
它的正常运转仅需很少的CPU或内存资源,而且硬盘需求也很低,即使在存在大量客户端的情况也是如此。
空闲时期的操作则可以忽略不计。
内存占用低于10MB。
每发放6000个许可证令牌,许可证数据库会增长5MB。
只有在终端服务器请求许可证令牌时,许可证服务器才处于活动状态,而且它对服务器性能的影响非常小,即使在高负载应用情境下也是如此。
运行WindowsServer 2003的终端服务器与运行Windows 2000的终端服务器不能进行通信。
但是,运行WindowsServer2003的终端服务器许可证服务器与运行Windows 2000Server的终端服务器通信。
因此,如果对运行Windows 2000的终端服务器进行升级,需要安装并激活运行WindowsServer 2003的授权服务器,以便能够同时与运行Windows 2000和WindowsServer 2003的终端服务器通信。
终端服务器的宽限期
即便客户端没有许可证令牌,在需要与许可证服务器进行通信之前,终端服务器允许客户端在120天的期限内与其建立连接。
这个期限称作许可证服务器的宽限期,时间从终端服务器客户端第一次与终端服务器建立连接之日算起。
此宽限期的目的在于为管理员部署许可证服务器提供充裕的时间。
而不是提供一段对终端服务器的“免费”访问时间。
根据WindowsServer2003EULA,必须购买许可证才能访问终端服务器。
EULA中并未规定可以在没有相应许可证的情况访问终端服务器。
许可证服务器的宽限期在120天后结束,或者在许可证服务器通过终端服务器发放一个永久性的许可证令牌后结束,具体情况则需视哪种情况先出现而定。
所以,如果许可证服务器和终端服务器同时部署,终端服务器宽限期会在发放第一个永久性许可证令牌后立即过期。
授权服务的安装
若要安装许可证服务器,应在产品安装期间选择“终端服务器授权”(TerminalServerLicensing),或者在任何时间从控制面板中选择“添加/删除程序”,然后选择“添加/删除Windows组件”。
在WindowsServer 2003中,授权服务可以安装在基于工作组的服务器、成员服务器或域控制器上。
在终端服务器授权服务安装期间,需要在以下两种许可证服务器模式中选择一种:
∙整个企业(企业许可证服务器)
∙域或工作组(域/工作组许可证服务器)
这些选项决定了终端服务器发现许可证服务器的方式和时间。
在工作组或非ActiveDirectory域中,必需选择“域或工作组”。
在这种情况下,与许可证服务器处于同一子网的任何终端服务器会自动发现许可证服务器。
在基于ActiveDirectory的域中,可以选择任何一种选项。
与许可证服务器处于相同站点的任何终端服务器都可以自动发现企业授权服务器。
作为域成员并且与许可证服务器处于相同域的任何终端服务器都可以自动发现域授权服务器。
授权服务的激活
若要验证许可证服务器并允许它发放客户端许可证令牌,必须激活许可证服务器。
可使用终端服务器授权管理工具中的ActivationWizard(激活向导)来激活许可证服务器。
若要激活许可证服务器,请在突出显示服务器后,从“操作”菜单中选择“激活服务器”。
有关更多信息,请参见Microsoft®Windows®Server 2003的“帮助和支持中心”里的“终端服务器授权”部分。
为激活许可证服务器,有三种连接方式可以使用:
∙互联网(自动)-这是激活和安装许可证的最快捷、最容易的方式,也是微软推荐采用的方式。
这种方法需要运行终端服务器授权管理工具的设备连接到互联网。
许可证服务器本身则并不需要互联网连接。
互联网方式使用TCP/IP(TCP端口443)直接连接到Clearinghouse。
∙Web-如果运行终端服务器授权管理工具的设备不能连接到互联网,但是您可以在其它计算机上使用Web浏览器访问Web,则应使用Web方式。
“激活向导”中显示了用于Web方法的URL。
∙电话-可使用电话方式与微软客户服务代表进行交谈,完成激活或许可证安装。
在“激活向导”中,会根据您选择的国家/地区显示相应的电话号码。
在激活许可证服务器时,微软为服务器提供了有限使用的数字证书来验证服务器的所有权和身份。
为此,微软使用了X.509行业标准证书。
通过使用该证书,许可证服务器可以与微软开展后续的事务,并收到客户端许可证密钥包。
客户端许可证密钥包包含可供许可证服务器分发的多个许可证令牌。
许可证服务器只能激活一次。
在等待激活过程完成或许可证令牌安装完毕的时候,许可证服务器可为客户端发放临时性的令牌,允许它们在最长90天的期限内使用终端服务器。
升级Windows 2000许可证服务器
在将运行Windows 2000的许可证服务器升级为运行WindowsServer 2003的时候,许可证数据库和已安装的许可证令牌将会保留。
但是,可能需要在完成升级后重新激活许可证服务器。
若要重新激活从Windows2000升级而来的许可证服务器,应启动终端服务器授权工具并在突出显示服务器的情况下,从“操作”菜单中选择“重新激活服务器”。
有关更多信息,请参见Microsoft®Windows®Server 2003的“帮助和支持中心”里的“终端服务器授权”部分。
购买许可证
购买WindowsServer 2003的TSCAL的过程与购买其它微软客户端访问许可证相同。
WindowsServer 2003终端服务器授权技术并未修改该购买过程。
客户可以通过获取MicrosoftLicensePak(MLP)、MicrosoftOpenLicense来购买这些许可证,也可以通过微软的某个批量许可计划(例如MicrosoftSelect)进行购买。
重要
如果您通过MicrosoftLicensePak购买TSCAL,请注意,从Windows2000开始,微软在MLPforTSCAL中增加了一些额外组件。
以前,MLP的内容包括了EULA。
WindowsServer2003TSCALMLP和Windows2000ServerTSCALMLP一样,将包括EULA以及一个称作许可证补遗的新组件。
该许可证补遗包含称为许可证代码的25个字符长的字母代码,它代表了TSCAL的购买数量。
系统管理员使用该许可证代码,并选择一个名为Retail的许可计划,将MLPTSCAL令牌安装到许可证服务器上。
许可证的安装
许可证令牌必须安装在许可证服务器上,以便它们能够部署到客户端设备。
在购买了TSCAL后,可以使用CAL安装向导安装对应的许可证令牌,该向导可在终端服务器授权工具中找到。
可使用许可证服务器激活过程支持的三种连接方式之一来安装许可证令牌。
在安装许可证令牌时,会询问您有关许可证购买方面的信息。
根据您获得许可证的方式,请求的信息可能会包含您的MicrosoftEnterprise或SelectEnrollment编号;您的Campus、School、ServicesProvider、Multi-YearOpen或OpenSubscriptionAgreement编号;您的OpenLicense和Authorization编号;或者您的25个字符长的许可证代码(如果购买了LicensePak)。
如果您通过某个计划获得了许可证,或者通过前文中列出的某种方法获得了许可证,请查阅计划文档获取更多信息。
授权服务的发现
终端服务器使用发现过程来查找许可证服务器。
该过程在终端服务器服务启动时便开始执行。
该发现过程会根据终端服务器所处的环境而有所不同。
还可使用WMI脚本,通过在终端服务器上指定一台首选的许可证服务器(或多台许可证服务器)来避免执行此发现过程。
如需查看用来设置首选许可证服务器、删除首选许可证服务器或查询首选许可证服务器的三个脚本,请参见后文中的“管理”部分。
工作组/非ActiveDirectory域控制器
在工作组或非ActiveDirectory域中,终端服务器首先尝试联系LicenseServers注册表键中指定的许可证服务器。
如果不成功,将执行一个mailslot广播,以查找它所在子网中的许可证服务器。
ActiveDirectory发现
在基于ActiveDirectory的域中,终端服务器首先尝试联系LicenseServers注册表键中指定的许可证服务器。
如果不成功,将尝试对ActiveDirectory中的以下对象执行轻量级目录访问协议(LDAP)查询,以查找存在的任何企业许可证服务器:
LDAP:
//CN=TS-Enterprise-License-Server,CN=,CN=sites,CN=configuration,DC=,DC=com
然后,终端服务器通过查询其所在站点内的所有域控制器来查找域许可证服务器,接着再查询其所在域中的所有域控制器。
重要
在WindowsServer2003中,虽然非域控制器也可以作为许可证服务器,但是了解域控制器不会被自动发现这一点非常重要。
对于不作为域控制器但是被配置为域许可证服务器的许可证服务器,为使终端服务器能够与其通信,您必须在所有终端服务器上配置一台首选许可证服务器。
部署在非域控制器上的企业域许可证服务器可以被自动发现。
终端服务器会在注册表的以下位置缓存找到的许可证服务器名称:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing\Parameters\EnterpriseServerMulti(Enterpriselicenseservers)
HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing\Parameters\DomainLicenseServerMulti(Domainlicenseservers)
如果未找到任何许可证服务器,终端服务器将每小时执行一次发现过程。
在找到许可证服务器后,便不会再执行任何发现过程,直至终端服务器注册表中缓存的所有许可证服务器都变得不可用。
针对高可用性配置许可证服务器
在确定许可证服务器的位置时,发现能力是最重要的因素。
托管终端服务器的域、站点或工作组必须也托管许可证服务器。
为了实现高可用性目标,建议采用的许可证服务器配置方法是:
至少安装两台具有可用TerminalServicesCAL的许可证服务器。
然后,每台服务器都以如下方式在ActiveDirectory®目录服务中通告为企业许可证服务器:
LDAP:
//CN=TS-Enterprise-License-Server,CN=sitename,CN=sites,CN=configuration-container。
每台许可证服务器都应包含50%数量的CAL,以实现负载平衡。
如果许可证服务器没有可用的CAL,那么许可证服务器将尝试引用拥有可用CAL的其它许可证服务器以发放许可证。
(这适用于企业许可证服务器和域许可证服务器。
)
下表总结了发放临时性许可证和永久性许可证的高可用应用情境。
表 2 许可证发放表
许可证服务器A–可用
许可证服务器A–停机
许可证服务器B–可用
许可证服务器B–停机
许可证服务器A和许可证服务器B均停机
新客户端许可证
发放有效期为90天的临时许可证
故障转移到许可证服务器B
发放有效期为90天的临时许可证
故障转移到许可证服务器A
无法连接
现有临时许可证
发放为期52–89天的永久性许可证
故障转移到许可证服务器B
发放为期
升级会员 