1 Présentation

Les avancées technologiques et fonctionnelles apportées avec Windows Server 2008 sont nombreuses dans de multiples domaines. La nouvelle édition de Terminal Server en bénéficie va plus loin encore en apportant une nouvelle dimension au produit par l’intermédiaire de nouveaux scénarios d’implémentation vraiment prometteur.

Pour rappel, Terminal Server est un composant de la famille Windows Server permettant d'accéder à des applications et des données sur un serveur distant à travers un réseau. Pour cela un client léger compatible avec le protocole RDP (Remote Desktop Protocol) est utilisé, se client pouvant tourner sur toutes les plateformes et le traitement des données étant assuré par le serveur.

Avec cette édition 2008, Microsoft a donc non seulement optimiser l’existant par l’intermédiaire d’une nouvelle version 6.1 du protocole RDP mais en a profité pour exploiter sa technologie pour permettre une intégration plus transparente de son utilisation avec les environnements des utilisateurs.

On voit ainsi apparaitre avec cette nouvelle version un nouveau client de connexion en version 6.1 prenant en charges les nouveautés de la plateforme mais aussi de nouveaux outils correspondant aux nouveaux scénarios d’implémentation possible :

• TS RemoteApp : Les applications distantes exécutent les programmes hébergés par les services Terminal Server sur les postes de travail des utilisateurs comme s'il s'agissait d'applications locales et non pas via un bureau virtuel.
• TS Web Access : Cette interface dynamique facilite l’accès aux applications distantes par l’intermédiaire d’un page web rassemblant les raccourcis de lancement.
• TS Gateway : Les passerelles Terminal Server rendent accessibles des serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel HTTPS. Cela évite l’utilisation de tunnels VPN.
• TS Session Broker : Le rôle Session Brocker est l’équivalent du service Session Directory de Windows Server 2003 et permet de localiser les sessions RDP en cours sur des fermes de serveurs TS et de reconnecter les utilisateurs sur le serveur hébergeant sa session.
• TS EasyPrint : Cette passerelle universelle d’impression évite l’installation des pilotes des imprimantes locales des clients sur le serveur.

2 RDP 6.1 et son nouveau client

La nouvelle plateforme Terminal Server 2008 s’appuie fortement sur la version 6.1 du protocole RDP qui nécessite le client Bureau à distance en version 6.1.

Cette mise à jour est disponible avec les systèmes Server 2008, Vista SP1 et XP SP3. Pour les autres il faudra se contenter du client 6.0 qui supporte tout de même la majeure partie des nouvelles fonctionnalités.

Concernant le détail de ces nouveautés, voila ce que l’on va pouvoir trouver :

2.1 Signature numérique des fichiers RDP

Afin d’éviter la prolifération de fichier de connexion .rdp pointant vers des serveurs TS malicieux et facilitant ainsi la récupération d’information sensible, les fichiers RDP peuvent être signés numériquement pour garantir l’intégrité et la validité des informations qu’ils contiennent.

Une nouvelle interface utilisateur permet d’accorder ou pas la confiance au fournisseur du fichier RDP.

La décision de confiance de l’utilisateur quand à elle est contrôlable par stratégie de groupe. On pourra ainsi lister les éditeurs de confiances et interdire les fichiers non-signés.

2.2 Nouvelles résolutions disponibles

Depuis la version 6.0 de RDP, le support des formats 16/9 et 16/10 ont été ajoutés pour prendre en charge les moniteurs avec une résolution comme le 1680 x 1050 ou le 1920 x 1200.

La résolution maximale d’une session Terminal Server étant maintenant de 4096 x 2048.

2.3 Extension de la session TS sur plusieurs écran

Par l’intermédiaire du commutateur mstsc /span, le bureau de la session terminal server peut s’étendre sur plusieurs moniteurs sur le client.

Attention, il s’agira d’un bureau unique ayant une résolution large couvrant plusieurs moniteurs et non pas d’une émulation de plusieurs moniteurs. Les moniteurs doivent en outre être côte à côte alignés.

2.4 Support du lissage de police

L’objectif de ClearType qui est apparu avec Windows XP est de lisser les polices afin d’en améliorer le rendu sur des moniteurs qui imposent aux pixels une position fixe comme les écrans plats.

Cette technique de rendue est maintenant disponible à travers les sessions Terminal Server ce qui rend l’expérience utilisateur plus agréable.

L’utilisation de cette fonctionnalité a pour contre partie l’augmentation de la bande passante utilisée.

Pour utiliser le lissage de police il suffit de vérifier son activation sur Windows Server 2008 puis de l’activer dans la configuration de la connexion sur le client Bureau à distance.

2.5 Définition des priorités concernant le trafic lié à l’affichage

Par l’intermédiaire de la base de registre, il est maintenant possible de définir la répartition de la bande passante RDP entre les canaux de communications d’affichage (Rendu de l’affichage et saisie clavier ou souris) et les autres canaux (transfert de fichiers, presse-papiers, travaux d’impression…).

Cela permet de ne plus gêner le rendu graphique de la session lorsque l’on lance un transfert ou une impression entre la session distante et le client local.

Ainsi en modifiant les valeurs suivantes de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD, il sera possible d’activer le contrôle de flux et les pourcentages de bande passante :

• FlowControlDisable : Active ou désactive le contrôle. Actif par défaut.
• FlowControlDisplayBandwidth : Bande passante concernant l’affichage. Valeur maximale 255 et par défaut 70.
• FlowControlChannelBandwidth : Bande passante concernant le reste des échanges. Valeur maximale 255 et par défaut 30.
• FlowControlChargePostCompression : Détermine si la bande passante est répartie avant compression ou apres. Calcul avant compression par défaut.

2.6 Authentification unique (SSO)

L’authentification unique va permettre à l’utilisateur de s’authentifier une seule fois sur le domaine lors de son ouverture de session et d’utiliser ces informations d’authentification pour se connecter à sa session terminale server sans devoir retaper son nom d’utilisateur et son mot de passe.

Cette fonctionnalité n’est disponible qu’à partir des systèmes Windows XP SP3, Windows Vista et Windows Server 2008.

Mise en place

Utilisant le protocole Kerberos, l’ordinateur client et Terminal Server devront être membre du même domaine.

Afin de se protéger des attaques de type « man in the middle », il sera nécessaire de spécifier au niveau d’une stratégie de groupe la liste des domaines ou serveurs vers lesquels les informations d’identités des utilisateurs seront transmises.

3 La passerelle Terminal Server

3.1 Principe de fonctionnement

Les passerelles Terminal Server permettent de rendre accessible de multiples serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS.

Cette fonctionnalité permet d’éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité.

Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n’auront qu’un accès limité voire nul aux serveurs Terminal Server de l’entreprise).

Le principe de fonctionnement d’une passerelle TS utilise un tunnel TLS (port 443) entre l’ordinateur client et la passerelle TS située en DMZ, puis la passerelle TS se connecte au serveur demandé via le protocole RDP. Ce principe est le même que celui utilisé par Outlook et Exchange 2003 (RPC over HTTPS).

Il n’est alors pas nécessaire d’ouvrir d’autre port que le TCP 443 à destination de la passerelle TS sur le pare-feu.

Ce rôle donne aussi bien accès aux serveurs Terminal Server, qu’aux applications distantes mais aussi aux bureaux à distance de Windows XP, Vista, Server 2003, Server 2008 afin de les administrer.

Afin d’assurer une meilleure montée en charge et une meilleure disponibilité, les passerelles Terminal Server peuvent être organisées en fermes de serveurs si besoin.

3.2 Mise en place

La mise en place d’un serveur de passerelle Terminal Server passe par la création de deux stratégies d’accès :

La stratégie CAS (Connection Authorization Policy)

Cette stratégie donne les conditions de connexion à la passerelle. Elle permet de spécifier quels sont les utilisateurs ou les groupes d’utilisateurs qui peuvent se connecter à la passerelle TS.

A cela on peu ajouter d’autres conditions pour accéder à la passerelle TS comme le mode d’authentification supporté (Mot de passe et carte à puce), l’appartenance à un groupe d’ordinateur ou le type de ressources locales qui peuvent être redirigées (lecteurs, imprimantes, copier-coller, usb, …).

Il est aussi possible d’intégrer les passerelles TS à une infrastructure NAP pour analyser l’état de santé des machines qui se connectent.

La stratégie RAP (Resource Authorization Policy)

Une fois la stratégie CAS établie, il faut définir les autorisations d’accès vers les serveurs TS auxquels les utilisateurs vont pouvoir se connecter.

Pour cela ont défini trois conditions qui sont les groupes d’utilisateurs qui peuvent se connecter, les groupes de serveurs TS auxquels ils pourront se connecter et les ports TCP autorisés (3389 par défaut).

4 Applications distantes et TS Web

4.1 Présentation des applications distantes

Jusqu’à présent, l’utilisation du protocole RDP a toujours eu pour objectif la connexion à un bureau distant afin d’accéder à ses applications et ses données.

Le principe des applications distantes sur Windows Server 2008 est d'exécuter les programmes hébergés par les services Terminal Server en les intégrants totalement au bureau local de l’utilisateur.

En apparence, ces applications seront complètements fondues dans l’environnement de l’utilisateur en s’intégrant tout naturellement dans la barre des taches du bureau local.

Le bureau local pourra aussi bénéficier de raccourcis dans le menu démarrer ou sur le bureau, de l’association des types de fichiers avec l’application distante, de l’intégration avec la zone de notification locale, du copier-coller entre les applications locales et distantes et de l’accès aux périphériques locaux depuis les applications publiées.

4.2 Déploiement des applications distantes

Pour publier une application, il suffit de spécifier celle-ci dans une liste de l’outil de gestion des applications distantes.

Une fois l’application publiée, il est possible d’en déployer les raccourcis par trois méthodes plus ou moins complètes :

Soit créer un fichier rdp composé des éléments de connexion au serveur Terminal Serveur publiant l’application distante.

Une passerelle Terminal Serveur, une signature du fichier RDP et des paramètres de configuration du protocole RDP pourront être ajoutés au fichier RDP si nécessaire.

Soit créer un fichier msi intégrant non seulement le fichier rdp de connexion mais aussi des éléments d’intégrations plus poussés comme des raccourcis sur le bureau, dans le menu démarrer et l’association des types de fichiers.

Cette dernière méthode permettant un déploiement facile via une stratégie de groupe.

Soit publier l’application sur le portail TS Web que l’on abordera juste après.

L’accès aux applications distantes est contrôlé par le même mécanisme que la publication de bureau classique terminal server.

Pour accéder aux applications il faut donc être membre du groupe Remote Desktop ou avoir des autorisations sur le protocole RDP-Tcp tout comme pour les bureaux Terminal Server.

4.3 Portail TS Web Access

Cette interface web permet d’accéder facilement aux applications distantes par la publication des raccourcis de lancement dans une page dont le contenu est administré par l’outil d’administration des applications distantes.

Ainsi, elle se comporte comme un lanceur d’application tout en intégrant un client classique de connexion bureau à distance.

L’apparence du portail peut être complètement personnalisée si nécessaire.

5 TS Easy print

Jusqu’à présent, pour imprimer une page à partir d’une session Terminal server sur une imprimante connectée localement au client, il fallait installer les pilotes de l’imprimante sur le serveur Terminal Server.

Cette installation pouvait causer des problèmes sur le serveur TS pour des raisons de compatibilité, de simplicité et de disponibilité des pilotes sur l’architecture du serveur (Version de l’O.S., 64 bits, …).

L’objectif de TS Easy Print est de faire une redirection transparente de l’impression vers l’imprimante locale sans avoir à installer de pilote côté serveur.

Pour cela, lorsque qu’un client lance une impression dans une session Terminal Server, le fichier est envoyé vers une imprimante virtuelle qui génère un fichier au format XPS (XML Paper Specification). Ce fichier est alors transféré à la machine locale, puis imprimé sans déformation ni altération du format.

A l’aide de ce mécanisme, toutes les options des pilotes constructeurs sont disponibles au sein de la session TS pour l’utilisateur et l’on bénéficie même d’une réduction de la bande passante utilisée entre le client et le serveur pour le transfert des travaux d’impression par l’utilisation d’une compression zip.

Pour la mise en place, il faudra installer coté client les éléments suivants :

• Le client Bureau à distance v6.1
• Le Framework .NET v3.0 sp1
• Les pilotes de l’imprimante installés localement

6 Session Broker

6.1 Présentation de l’annuaire de session

Session Broker a pour objectif de mieux répartir les sessions au sein d’une ferme de serveur TS.

Ce composant est équivalent au service Session Directory de Windows Server 2003 qui permet de localiser les sessions RDP en cours sur des fermes de serveurs TS en les stockant dans un annuaire.

La répartition de charge se fait ensuite en prenant en compte le nombre de session Terminal Server active sur le serveur TS et sur le poids de celui-ci dans la ferme.

Ainsi lors de la connexion initiale d’un utilisateur, celui-ci est affecté au serveur le moins chargé de la ferme.

Et lors de la reconnexion de ce même utilisateur sur une session déconnectée (et non pas fermée), l’annuaire de session est consulté pour le rediriger sur le serveur hébergeant sa session.

Le service Session Broker surveille la disponibilité du service Terminal Services sur les serveurs appartenant à la ferme. Dans le cas ou l’un des serveurs de la ferme tombe en panne, le système assure la tolérance de panne en redirigeant les clients sur un autre serveur. Evidement les sessions en cours seront tout de même perdues.

6.2 Mise en place de TS Session Broker

La mise en place de Session Broker passe par l’installation sur un serveur du rôle en question.

Il faudra ensuite ajouter les serveurs TS au groupe local Session Directory Computers du serveur TS Session Broker.

Et pour finir configurer via une stratégie de groupe chaque TS de la ferme.

Ce service peut aussi être implémenté sous la forme d’un cluster.

7 Ce qu’il est aussi bon de savoir…

Une expérience utilisateur plus proche du poste client

Afin de ne pas perturber les utilisateurs, il est possible d’installer le thème de Windows Vista sur Windows 2008 pour que l’environnement de travail des bureaux distants soit très proche de celui des postes clients. Pour cela, il suffit d’installer l’option « Desktop Experience ».

Une configuration intégrale par GPO

Tous les paramètres des serveurs TS sont entièrement configurables via des stratégies de groupes.

Une meilleure compatibilité des applications

La compatibilité des applications a été améliorée par un système de virtualisation du registre et du système de fichiers (colonne virtualisation dans la colonne processus du gestionnaire de fichier) et une intégration avec les outils de compatibilité d’application (ACT). Ceci sonne la fin des scripts de compatibilité

Une ouverture de session plus efficace et rapide

La modification du noyau pour un support du mode multi-utilisateur amélioré et des modifications de l’architecture de WINLOGON permettent d’ouvrir un nombre sessions en parallèle correspondant au nombre de cœurs sur le serveur. Les ouvertures et les fermetures de session sont donc plus rapides.