Microsoft Windows Server 2003 的终端服务器授权服务
Microsoft Corporation 发布时间:2003 年 5 月 更新日期:2005 年 5 月 摘要
本白皮书介绍了 Microsoft® Windows Server™ 2003 产品系列的客户端许可证管理服务
Terminal Server Licensing(终端服务器授权)。终端服务器授权服务与终端服务器合作,在终端服务器客户端之间提供、编录和强制许可证策略。
本白皮书研究终端服务器授权服务的关键功能和组件,并解释该服务如何影响企业中的计算。
本文所含信息仅代表 Microsoft 公司在本文发布时的观点。因为 Microsoft 必须顺应不断变化的市场条件,这些信息不应被视为
Microsoft 方面的承诺,同时 Microsoft 也不能保证本文发布之后其他任何信息的准确性。
本文档仅供参考。MICROSOFT 对本文档中的信息不提供任何形式的(包括明示或暗示的)保证。
用户有责任遵守所有适用的版权法。在版权法所赋予权利的前提下,未经 Microsoft 公司明确的书面许可,任何人不得将本文复制、存储或引入可检索系统,或是以任何形式或通过任何方式(电子、机械、影印、录制或其他方式)传播本文的任何部分。
本文主题可能涉及 Microsoft 的专利、专利申请、商标、版权或其它知识产权。除非获得 Microsoft 公司明确的书面许可,否则提供本文档并不代表许可您使用这些专利、商标、版权或其它知识产权。
© 2005 Microsoft Corporation。保留所有权利。
Microsoft、 Active Directory、Windows、Windows 徽标和 Windows Server 是 Microsoft Corporation 在美国和/或其它国家(地区)的注册商标或商标。
本文中提及的实际公司和产品的名称可能是其各自所有者的商标。
目录
许可证服务器 ................................................................................................... 1 终端服务器 ....................................................................................................... 2 受支持的许可证 ............................................................................................... 2 工作组/非 Active Directory 域控制器 ................................................................ 7 Active Directory 发现 ........................................................................................ 7
简介
Windows Server 2003 操作系统系列提供了一个称作“终端服务器授权”(Terminal Server Licensing) 的客户端许可证管理系统。该系统允许终端服务器为连接到终端服务器的设备和用户获得及管理终端服务器客户端访问许可证 (TS CAL) 令牌。终端服务器授权是 Microsoft® Windows Server™ 2003 标准版、Windows® Server 2003 企业版以及 Windows Server 2003 数据中心版的组件服务。它可管理未许可、临时许可以及已获得客户端访问许可的客户端,并且支持运行 Windows Server 2003 和 Microsoft Windows® 2000 Server 操作系统的终端服务器。因此,它极大简化了系统管理员的许可证管理工作,同时最大限度减少组织购买的许可证数量不足或过多的情况。终端服务器授权只能与终端服务器 (Terminal Server) 配合使用,而且不能与 Remote Desktop for Administration 一起使用。 Terminal Server for Windows Server 2003(先前的 Windows 2000 Server 应用程序服务器模式)通过其应用程序服务器模式,为使用各种设备的用户提供了部署和管理应用程序的能力。在运行 Windows Server 2003 的终端服务器上启动会话的每台设备或每个用户都必须拥有以下许可证之一:
1. 2. 3.
Windows Server 2003 Terminal Server 设备客户端访问许可证。 Windows Server 2003 Terminal Server 用户客户端访问许可证。
Windows Server 2003 Terminal Server External Connector(外部连接器)。
注意:可能还需要其它许可证,例如 Microsoft 或其它应用程序、操作系统和客户端访问许可证。即便在 Windows Server 2003 上使用了其它加载项产品,上述列表中的许可证也是必需的。
Terminal Services Licensing 服务与终端服务器客户端的许可授权紧密相关。它不会对其它任何应用程序或服务进行许可,不会替换其它任何组件的授权服务或与其交互,也不会改变您的任何最终用户许可协议 (EULA) 授予您的权利和义务。即便拥有终端服务器授权服务,您也仍然需要通过相应的销售渠道购买 TS CAL。
TS CAL 令牌是真实许可证的电子表示形式,但是它们本身并不是真正的许可证。因此,即使丢失了许可证令牌,也不意味着您丢失了实际的许可证。如果您有文档记录能够证明您购买了实际许可证,我们会重新向您发放许可证令牌。反过来,仅仅因为您拥有许可证令牌并不意味着必须将其映射到某个实际的合法许可证。
Terminal Services Licensing 的设计目的在于管理这些许可证令牌,以允许管理员更准确地评估组织的许可证购买需求。但是,在某些情况下,许可证令牌不应被映射到实际的许可证。管理员应该尽最大努力来决定是否属于这种情况,并在需要时购买额外的许可证(但是不安装对应的许可证令牌)以解决这种矛盾的状况。
Windows Server 2003 终端服务器授权技术白皮书 ii
终端服务器授权的工作模式
终端服务器授权工作于如图 1 所示的几个组件之间。这些组件包括:支持终端服务器授权的许可证服务器、Microsoft Certificate Authority and License Clearinghouse(微软证书颁发和许可授权中心)、一台或多台终端服务器以及终端服务器客户端。单许可证服务器可支持多个终端服务器。域中(或站点范围内)有一台或多台许可证服务器。 图1 终端服务器授权的工作模式
Microsoft Certificate Authority and License Clearinghouse
Microsoft Clearinghouse 是由微软维护的设施,旨在激活许可证服务器和向许可证服务器发放客户端许可证密钥包。客户端许可证密钥包是一组客户端访问许可证令牌的数字表示形式。可通过 Terminal Services Licensing 管理工具访问 Microsoft Clearinghouse。可以通过互联网、通过网页或通过电话直接与其进行联系。
许可证服务器
许可证服务器是安装了终端服务器授权的计算机。许可证服务器保存了为一组终端服务器安装的所有 TS CAL 许可证令牌,并且对已经发放的许可证令牌进行跟踪。一台许可证服务器可以同时为多台终端服务器提供服务。终端服务器必须能够连接到某台已激活的许可证服务器,以便向客户端设备发放永久性的许可证令牌。已经安装但尚未激活的许可证服务器只能发放临时性的许可证令牌。
终端服务器
终端服务器是安装了 Terminal Server(终端服务器)服务的计算机。它允许客户端访问完全运行在服务器上的、基于 Windows 的应用程序,并且支持服务器上的多个客户端会话。当客户端连接到终端服务器时,终端服务器将确定客户端是否需要一个许可证令牌,从许可证服务器那里请求一个许可证令牌,然后将该许可证令牌传送给客户端。
受支持的许可证
截止本文写作之时,运行 Windows Server 2003 的许可证服务器支持如下类型的许可证,并可管理各个类型与 Windows Server 2003 Terminal Server 和 Windows 2000 Terminal Services 相关的对应令牌:
Windows Server 2003 Terminal Server 设备客户端访问许可证。这些许可证是为连接到运行 Windows Server 2003 的终端服务器的已知设备购买的。
Windows Server 2003 Terminal Server 用户客户端访问许可证。这些许可证是为连接到运行 Windows Server 2003 的终端服务器的已知用户购买的。
Windows Server 2003 Terminal Server 外部连接器许可证。购买这些许可证是目的是:允许外部用户(例如,业务伙伴)与运行 Windows Server 2003 的终端服务器建立不限数量的连接。需要注意的是,当前不支持在许可证服务器上安装 External Connector(外部连接器)令牌。
Windows 2000 Terminal Services 客户端访问许可证。这些许可证是为连接到运行 Windows 2000 的终端服务器的已知设备购买的。
Windows 2000 Terminal Services Internet 连接器许可证。购买这些许可证的目的是:允许非雇员通过互联网访问运行 Windows 2000 的终端服务器,最多允许同时建立 200 条匿名连接。
Windows 2000 内置许可证运行 Windows 2000 专业版或其后续操作系统的客户端在连接到运行 Windows 2000 的终端服务器时,可以从内置的许可证池中获得令牌。
注意
临时许可证当运行 Windows Server 2003 的终端服务器请求 Windows
连接到运行 Windows Server 2003 的终端服务器的所有设备都需要拥有 Windows Server 2003 TS CAL。任何操作系统(包括 Windows 2000 专业版或其后续操作系统)都不能从内置许可证池中获得令牌。
Server 2003 Per Device TS CAL 令牌时,或者当运行 Windows 2000 的终端服务器请求 Windows 2000 TS CAL 令牌时,假如许可证服务器没有令牌可以提供,它将向连接客户端发放一个临时性令牌(如果该客户端许可证当前没有令牌)。许可证服务器跟踪这些令牌的发放和过期情况。这些临时令牌的设计目的是:为管理员在许可证服务器上安装许可证令牌提供充裕的时间。而并不是在一定时间内提供对终端服务器的“免费”访问。根据 Windows Server EULA,必须购买许可证才能访问终端服务器。EULA 中并未规定可以在没有相应许可证的情况访问终端服务器。
Windows Server 2003 终端服务器授权技术白皮书 2
重要
虽然可以在运行 Windows Server 2003 的终端服务器上安装上述所有类型的许可证令牌,但是 Windows 2000 的令牌类型仅仅供连接到运行 Windows 2000 的终端服务器的客户端使用。若要连接到运行 Windows Server 2003 的终端服务器,Windows Server 2003 令牌是必需的。
Windows Server 2003 终端服务器授权技术白皮书 3
功能及优点总结
Terminal Services Licensing 服务包括以下功能和优点:
对 TS CAL 和对应的令牌实施集中管理 许可证的可说明性和报告
对各种通信渠道和购买计划的简单支持 最大限度降低对网络和服务器的影响
本文剩余部分将探讨针对 Windows Server 2003 的终端服务器授权的设计目标和实现过程,同时阐述企业利用该服务器的具体方式。
服务的部署
终端服务器授权服务是与终端服务器不同的实体。在大多数大型部署中,许可证服务器部署在一台单独的服务器上,但在较小型的部署中,它可以与终端服务器共存于一台服务器上。
终端服务器授权是一个对系统影响很小的服务。它的正常运转仅需很少的 CPU 或内存资源,而且硬盘需求也很低,即使在存在大量客户端的情况也是如此。空闲时期的操作则可以忽略不计。内存占用低于 10 MB。每发放 6000 个许可证令牌,许可证数据库会增长 5MB。只有在终端服务器请求许可证令牌时,许可证服务器才处于活动状态,而且它对服务器性能的影响非常小,即使在高负载应用情境下也是如此。
运行 Windows Server 2003 的终端服务器与运行 Windows 2000 的终端服务器不能进行通信。但是,运行 Windows Server 2003 的终端服务器许可证服务器与运行 Windows 2000 Server 的终端服务器通信。因此,如果对运行 Windows 2000 的终端服务器进行升级,需要安装并激活运行 Windows Server 2003 的授权服务器,以便能够同时与运行 Windows 2000 和 Windows Server 2003 的终端服务器通信。
终端服务器的宽限期
即便客户端没有许可证令牌,在需要与许可证服务器进行通信之前,终端服务器允许客户端在 120 天的期限内与其建立连接。这个期限称作许可证服务器的宽限期,时间从终端服务器客户端第一次与终端服务器建立连接之日算起。此宽限期的目的在于为管理员部署许可证服务器提供充裕的时间。而不是提供一段对终端服务器的“免费”访问时间。根据 Windows Server 2003 EULA,必须购买许可证才能访问终端服务器。EULA 中并未规定可以在没有相应许可证的情况访问终端服务器。
许可证服务器的宽限期在 120 天后结束,或者在许可证服务器通过终端服务器发放一个永久性的许可证令牌后结束,具体情况则需视哪种情况先出现而定。所以,如果许可证服务
Windows Server 2003 终端服务器授权技术白皮书 4
器和终端服务器同时部署,终端服务器宽限期会在发放第一个永久性许可证令牌后立即过期。
授权服务的安装
若要安装许可证服务器,应在产品安装期间选择“终端服务器授权”(Terminal Server Licensing),或者在任何时间从控制面板中选择“添加/删除程序”,然后选择“添加/删除 Windows 组件”。
在 Windows Server 2003 中,授权服务可以安装在基于工作组的服务器、成员服务器或域控制器上。
在终端服务器授权服务安装期间,需要在以下两种许可证服务器模式中选择一种:
整个企业(企业许可证服务器) 域或工作组(域/工作组许可证服务器)
这些选项决定了终端服务器发现许可证服务器的方式和时间。在工作组或非 Active
Directory 域中,必需选择“域或工作组”。在这种情况下,与许可证服务器处于同一子网的任何终端服务器会自动发现许可证服务器。
在基于 Active Directory 的域中,可以选择任何一种选项。与许可证服务器处于相同站点的任何终端服务器都可以自动发现企业授权服务器。作为域成员并且与许可证服务器处于相同域的任何终端服务器都可以自动发现域授权服务器。
授权服务的激活
若要验证许可证服务器并允许它发放客户端许可证令牌,必须激活许可证服务器。可使用终端服务器授权管理工具中的 Activation Wizard(激活向导)来激活许可证服务器。若要激活许可证服务器,请在突出显示服务器后,从“操作”菜单中选择“激活服务器”。有关更多信息,请参见 Microsoft® Windows® Server 2003 的“帮助和支持中心”里的“终端服务器授权”部分。
为激活许可证服务器,有三种连接方式可以使用:
互联网(自动) - 这是激活和安装许可证的最快捷、最容易的方式,也是微软推荐采用的方式。这种方法需要运行终端服务器授权管理工具的设备连接到互联网。许可证服务器本身则并不需要互联网连接。互联网方式使用 TCP/IP(TCP 端口 443)直接连接到 Clearinghouse。
Web - 如果运行终端服务器授权管理工具的设备不能连接到互联网,但是您可以在其它计算机上使用 Web 浏览器访问 Web ,则应使用 Web 方式。“激活向导”中显示了用于 Web 方法的 URL。
电话 - 可使用电话方式与微软客户服务代表进行交谈,完成激活或许可证安装。在“激活向导”中,会根据您选择的国家/地区显示相应的电话号码。
在激活许可证服务器时,微软为服务器提供了有限使用的数字证书来验证服务器的所有权和身份。为此,微软使用了 X.509 行业标准证书。通过使用该证书,许可证服务器可以与
Windows Server 2003 终端服务器授权技术白皮书
5
微软开展后续的事务,并收到客户端许可证密钥包。客户端许可证密钥包包含可供许可证服务器分发的多个许可证令牌。
许可证服务器只能激活一次。在等待激活过程完成或许可证令牌安装完毕的时候,许可证服务器可为客户端发放临时性的令牌,允许它们在最长 90 天的期限内使用终端服务器。
升级 Windows 2000 许可证服务器
在将运行 Windows 2000 的许可证服务器升级为运行 Windows Server 2003 的时候,许可证数据库和已安装的许可证令牌将会保留。但是,可能需要在完成升级后重新激活许可证服务器。若要重新激活从 Windows 2000 升级而来的许可证服务器,应启动终端服务器授权工具并在突出显示服务器的情况下,从“操作”菜单中选择“重新激活服务器”。有关更多信息,请参见 Microsoft® Windows® Server 2003 的“帮助和支持中心”里的“终端服务器授权”部分。
购买许可证
购买 Windows Server 2003 的 TS CAL 的过程与购买其它微软客户端访问许可证相同。Windows Server 2003 终端服务器授权技术并未修改该购买过程。客户可以通过获取
Microsoft License Pak (MLP)、Microsoft Open License 来购买这些许可证,也可以通过微软的某个批量许可计划(例如 Microsoft Select)进行购买。
重要
如果您通过 Microsoft License Pak 购买 TS CAL,请注意,从 Windows 2000 开始,微软在 MLP for TS CAL 中增加了一些额外组件。以前,MLP 的内容包括了 EULA。Windows Server 2003 TS CAL MLP 和 Windows 2000 Server TS CAL MLP 一样,将包括 EULA 以及一个称作许可证补遗的新组件。该许可证补遗包含称为许可证代码的 25 个字符长的字母代码,它代表了 TS CAL 的购买数量。系统管理员使用该许可证代码,并选择一个名为 Retail 的许可计划,将 MLP TS CAL 令牌安装到许可证服务器上。
许可证的安装
许可证令牌必须安装在许可证服务器上,以便它们能够部署到客户端设备。在购买了 TS CAL 后,可以使用 CAL 安装向导安装对应的许可证令牌,该向导可在终端服务器授权工具中找到。
可使用许可证服务器激活过程支持的三种连接方式之一来安装许可证令牌。在安装许可证令牌时,会询问您有关许可证购买方面的信息。根据您获得许可证的方式,请求的信息可能会包含您的 Microsoft Enterprise 或 Select Enrollment 编号;您的 Campus、School、Services Provider、Multi-Year Open 或 Open Subscription Agreement 编号;您的 Open License 和 Authorization 编号;或者您的 25 个字符长的许可证代码(如果购买了 License Pak)。如果您通过某个计划获得了许可证,或者通过前文中列出的某种方法获得了许可证,请查阅计划文档获取更多信息。
Windows Server 2003 终端服务器授权技术白皮书 6
授权服务的发现
终端服务器使用发现过程来查找许可证服务器。该过程在终端服务器服务启动时便开始执行。该发现过程会根据终端服务器所处的环境而有所不同。
还可使用 WMI 脚本,通过在终端服务器上指定一台首选的许可证服务器(或多台许可证服务器)来避免执行此发现过程。如需查看用来设置首选许可证服务器、删除首选许可证服务器或查询首选许可证服务器的三个脚本,请参见后文中的“管理”部分。
工作组/非 Active Directory 域控制器
在工作组或非 Active Directory 域中,终端服务器首先尝试联系 LicenseServers 注册表键中指定的许可证服务器。如果不成功,将执行一个 mailslot 广播,以查找它所在子网中的许可证服务器。
Active Directory 发现
在基于 Active Directory 的域中,终端服务器首先尝试联系 LicenseServers 注册表键中指定的许可证服务器。如果不成功,将尝试对 Active Directory 中的以下对象执行轻量级目录访问协议 (LDAP) 查询,以查找存在的任何企业许可证服务器:
LDAP://CN=TS-Enterprise-License-Server,CN= 然后,终端服务器通过查询其所在站点内的所有域控制器来查找域许可证服务器,接着再查询其所在域中的所有域控制器。 重要 在 Windows Server 2003 中,虽然非域控制器也可以作为许可证服务器,但是了解域控制器不会被自动发现这一点非常重要。对于不作为域控制器但是被配置为域许可证服务器的许可证服务器,为使终端服务器能够与其通信,您必须在所有终端服务器上配置一台首选许可证服务器。部署在非域控制器上的企业域许可证服务器可以被自动发现。 终端服务器会在注册表的以下位置缓存找到的许可证服务器名称: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\MSLicensing\\Parameters\\EnterpriseServerMulti (Enterprise license servers) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\MSLicensing\\Parameters\\DomainLicenseServerMulti (Domain license servers) 如果未找到任何许可证服务器,终端服务器将每小时执行一次发现过程。在找到许可证服务器后,便不会再执行任何发现过程,直至终端服务器注册表中缓存的所有许可证服务器都变得不可用。 针对高可用性配置许可证服务器 在确定许可证服务器的位置时,发现能力是最重要的因素。托管终端服务器的域、站点或工作组必须也托管许可证服务器。为了实现高可用性目标,建议采用的许可证服务器配置 Windows Server 2003 终端服务器授权技术白皮书 7 方法是:至少安装两台具有可用 Terminal Services CAL 的许可证服务器。然后,每台服务器都以如下方式在 Active Directory® 目录服务中通告为企业许可证服务器: LDAP://CN=TS-Enterprise-License-Server,CN=site name,CN=sites,CN=configuration-container。 每台许可证服务器都应包含 50% 数量的 CAL,以实现负载平衡。如果许可证服务器没有可用的 CAL,那么许可证服务器将尝试引用拥有可用 CAL 的其它许可证服务器以发放许可证。(这适用于企业许可证服务器和域许可证服务器。) 下表总结了发放临时性许可证和永久性许可证的高可用应用情境。 表 1 许可证发放表 新客户端许可证 现有临时许可证 已过期的临时许可证 现有永久性许可证 许可证服务器 A – 可用 许可证服务器 A – 停机 许可证服务器 B – 可用 许可证服务器 B – 停机 许可证服务器 A 和许可证服务器 B 均停机 无法连接 发放有效期为 90 天的临时许可证 发放为期 52 – 89 天的永久性许可证 发放为期 52 – 89 天的永久性许可证 允许连接 - 将在过期前的 7 天内重新发放许可证 重新发放具有新过期期限的许可证 故障转移到许可证服务器 B 故障转移到许可证服务器 B 故障转移到许可证服务器 B 故障转移到许可证服务器 B 发放有效期为 90 天的临时许可证 发放为期 52 – 89 天的永久性许可证 发放为期 52 – 89 天的永久性许可证 故障转移到许可证服务器 A 故障转移到许可证服务器 A 故障转移到许可证服务器 A 允许连接,直至许可证过期 无法连接 允许连接 - 故障转移到将在过期前许可证服务的 7 天内重器 A 新发放许可证 重新发放具有新过期期限的许可证 允许连接 故障转移到许可证服务器 A 允许连接 允许连接 - 在 CAL 过期后将无法连接 无法连接 已过期的永久性许可证 故障转移到许可证服务器 B 允许连接 现有 Windows 允许连接 2000 许可证 允许连接 在许可证到期前的 7 天,每个客户端会请求更新许可证。这样,便有足够的时间来解决每台许可证服务器存在的任何问题。如果所有许可证服务器都同时停机,将拒绝新客户端或许可证已过期的客户端的访问请求。此外,应该按照网络子网分隔许可证服务器,确保网络故障不会导致用户无法连接到许可证服务器。 最后,管理员应该使用“终端服务器授权工具”(Terminal Server Licensing Tool),确保每台许可证服务器上至少有 10% 的 CAL 可用。但是,如果可用的许可证都位于一台许可证服务器上,而该服务器已因故障停止运转,那么会立即拒绝许可证已过期的客户端的访问请求,而许可证将于 7 天内过期的客户端也会在许可证到期之时被拒绝访问。 Windows Server 2003 终端服务器授权技术白皮书 8 许可证令牌公告 在某些情况下,当把许可证令牌添加到许可证服务器的数据库或从数据库中删除时,许可证服务器间会相互进行通知。当许可证服务器没有许可证令牌可供发放时,这种通知机制允许许可证服务器将许可证令牌请求重新定向到其它许可证服务器。下面列出了受支持的配置方式和拓扑结构: 处于同一域中的各个域许可证服务器之间 处于同一站点或同一域的各个企业许可证服务器之间 从企业许可证服务器到域许可证服务器 从运行 Windows 2000 的许可证服务器到运行 Windows Server 2003 的许可证服务器 终端服务器的授权模式 在 Windows Server 2003 中,终端服务器支持以下许可模式: 按设备发放。向连接到特定终端服务器的每台设备发放许可证令牌 按用户发放。向连接到特定终端服务器的每个用户发放许可证令牌 默认情况下,运行 Windows 2000 的终端服务器在升级到 Windows Server 2003 之后将处于“按设备发放”(Per Device) 模式。但是,如果运行 Windows 2000 的终端服务器处于 Internet Connector 模式,那么服务器将处于“按用户发放”(Per User) 模式。 许可过程 按设备发放客户端许可证的过程 许可证发放过程中的所有通信都发生在客户端和终端服务器之间,以及终端服务器和许可证服务器之间。终端服务器客户端永远不会直接与许可证服务器进行通信。 如果客户端设备尝试连接到处于“按设备发放”模式的终端服务器,则终端服务器会确定客户端是否拥有许可证令牌。终端服务器客户端在以下位置保存许可证令牌: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\MSLicensing 如果客户端没有许可证令牌,终端服务器将尝试联系其已发现许可证服务器列表中的许可证服务器。如果未能建立联系,终端服务器将重新启动发现过程。如果没有任何许可证服务器做出响应,设备将不能连接到终端服务器,除非它处于终端服务器的宽限期内。 如果某台许可证服务器做出了响应,终端服务器将为设备请求一个临时令牌,因为这是该设备第一次连接到终端服务器。然后,终端服务器将此临时令牌发送给设备。在用户提供 Windows Server 2003 终端服务器授权技术白皮书 9 有效凭证并成功登录后,终端服务器将指示许可证服务器将已发放的临时令牌标记为有效。 当用户下一次尝试连接到处于“按设备发放”模式的终端服务器时,终端服务器会为该设备请求一个 Windows Server 2003 TS Device CAL 令牌。如果许可证服务器拥有可用的 TS Device CAL 令牌,它将从可用的许可证令牌池中删除一个令牌,将其标记为已发放给该设备,并记录设备名称、设备的用户名以及发放日期,随后将 TS Device CAL 令牌发送给设备。 如果许可证服务器没有可用的 TS Device CAL 令牌,它将首先查看其所在的域、工作组或站点中的其它许可证服务器。许可证服务器知道其它可访问的许可证服务器的位置以及它们是否拥有可用的许可证令牌。如果其它许可证服务器可以访问并且有可用的许可证令牌,则第一台许可证服务器将从第二台许可证服务器请求一个许可证令牌,并将其发送给终端服务器,而由终端服务器将令牌传递给客户端设备。如果没有可用的 TS Device CAL 令牌,设备可使用临时令牌继续连接到终端服务器。 临时令牌允许设备在 90 天期限内建立连接,然后令牌将过期。TS Device CAL 尽管代表永久性许可证,但是也被设置了从发放之日算起的 52-89 天的有效期。在这些令牌到期前的 7 天内,终端服务器总是尝试更新这些令牌。这样做的目的是恢复那些由于硬件故障或操作系统重新安装这样的事件而丢失的 TS Device CAL。 按用户发放客户端许可证的过程 如果终端服务器被配置为“按用户发放”模式,终端服务器必须能够在宽限期结束后查找到许可证服务器。尽管可以在许可证服务器上安装 TS Per User CAL 令牌,但是当前还没有任何方法向特定用户帐户指派 TS Per User CAL 令牌。 外部连接器的客户端许可证分发 终端服务器授权或 Microsoft Clearinghouse 目前不支持外部连接器 (External Connector)。为了使用外部连接器许可证,需要将终端服务器配置为“按用户发放”模式。 其它服务器配置 许可证服务器的备份 在备份许可证服务器时,请选择 Ntbackup 中的以下选项: 许可证服务器目录(默认为 %systemroot%\\system32\\lserver) 修复目录(默认为 %systemroot%\\Repair) 系统状态 Windows Server 2003 终端服务器授权技术白皮书 10 为了移动或替换现有许可证服务器,请执行如下工作: 1. 在新计算机上安装和激活许可证服务器。 2. 安装 TS CAL 令牌的数量和类型——等于被替换的原始许可证服务器上安装的数量和类型。可以使用三种连接方式中任何一种可用的方式。根据 TS CAL 的购买方式,如果“自动”和“Web”方式失败,可能需要致电微软客户服务销售代表。 3. 确保终端服务器可以发现新的许可证服务器。例如,如果先前将终端服务器配置为从旧的许可证服务器上请求令牌,则需要通知它们,改从新许可证服务器上请求令牌。 4. 卸载或停用旧的许可证服务器(如果计划替换某台活动的许可证服务器)。 从撤除的许可证服务器那里接收令牌的客户端将继续使用这些令牌直至它们过期。令牌过期后,将从新的许可证服务器向客户端分配新令牌。 防止许可证升级策略 计算机配置/管理员模板/Windows 组件/Terminal Services/Licensing 许可证服务器将试图为连接提供最合适的客户端访问许可证。例如,许可证服务器会为连接到运行 Windows 2000 的终端服务器的客户端提供 Windows 2000 TS CAL 令牌,而为连接到运行 Windows Server 2003 的终端服务器的连接提供 Windows Server 2003 Family Per Device TS CAL。 默认情况下,如果没有可用的 Windows 2000 TS CAL 令牌,这种“按计算机发放令牌”的设置允许许可证服务器向运行 Windows 2000 的终端服务器提供 Windows Server 2003 Family Device TS CAL 令牌(如果有可用令牌)。 如果状态被设为“启用”(Enabled),当运行 Windows 2000 的终端服务器请求许可证的时候,如果没有任何 Windows 2000 TS CAL 令牌可用并且未曾向该客户端发放过任何临时 CAL,那么将发放一个临时性的 CAL。否则,则不会发放任何 CAL 并拒绝客户端的连接,除非终端服务器处于宽限期内。 注意 此策略仅适用于“设备 CAL”令牌,因为仅有一种版本的“用户 CAL”令牌。 许可证服务器安全组策略 计算机配置/管理员模板/Windows 组件/Terminal Services/Licensing 可使用此设置控制能够向哪些服务器发放许可证。默认情况下,终端服务器许可证服务器向请求许可证的任何计算机都发放许可证。 例如,如果每个部门都购买了自己的 TS CAL 和终端服务器,在执行部门级部署时,此策略将十分有用。此策略允许部门控制哪一台终端服务器能够从他们的许可证服务器上请求 TS CAL 令牌。 Windows Server 2003 终端服务器授权技术白皮书 11 如果状态设置为“启用”(Enabled),终端服务器许可证服务器将仅向“Terminal Services Computers”本地组中的计算机授予许可证。如果许可证服务器是域控制器,该组则是域本地组。 注意 1. Terminal Services Computers 组默认情况下没有任何组成员。终端服务器许可证服务器不会向任何计算机授予许可证,除非您明确地为该组增加了成员。 2. 管理终端服务器计算机帐户的最有效方法是创建一个全局组,该组包含必须获得许可证的所有终端服务器和许可证服务器帐户。然后,将该全局组置于本地(或域本地)Terminal Services Computers 组中。这种方法使得域管理员只需管理一个计算机帐户列表即可。 3. 若要向组添加计算机帐户,请打开“计算机管理”管理单元,导航到该组的“属性”页,然后单击“添加”。在“选择用户、计算机或组”对话框中,单击“对象类型”,然后选中“计算机”。 管理 用来管理授权服务的主要工具是终端服务器授权管理工具,该工具默认情况下已安装。该工具用来激活许可证服务器,安装许可证令牌,查看许可证数据库中包含的数据,以及执行许可证服务器的日常管理工作。其它工具(包括“终端服务器许可证报告”工具、“终端服务器客户端许可证测试”工具以及“终端服务器许可证服务器查看”工具)将在下文中予以介绍。 终端服务器授权工具 终端服务器授权工具可用于许可证服务器的管理。在启动时,它会显示一个包含所有可发现许可证服务器的列表(见图 2),并且可从单一位置对所有这些服务器进行管理。 图 2 终端服务器授权工具 Windows Server 2003 终端服务器授权技术白皮书 12 选择某个许可证服务器的操作将使它进入被管理状态。受支持的操作包括: 激活许可证服务器 安装许可证令牌 查看详细的许可证发放和可用情况信息 高级选项(例如:停用许可证服务器) 上述列表中的许多操作都需要与 Microsoft Clearinghouse 进行通信。该工具的集中管理功能允许使用连接到 Internet 的单个站点为企业提供这些服务,从而简化了此过程。 终端服务器许可证报告工具 终端服务器许可证报告 (License Reporting) 工具 (LSREPORT.EXE) 包含在 Microsoft Windows Server 2003 资源工具包 中,可用来分析许可证服务器数据库中包含的信息。它是一个命令行工具,可将许可证服务器数据库中的信息输出到一个用制表符分隔的文本文件中。该工具经过升级,在报告中包括了客户端的硬件 ID,在跟踪向特定客户端设备发放的许可证时,此 ID 十分有用。该报告工具可使用如下参数: /F filename 直接将输出写入名为“filename”的文件(“filename”默认为“lsreport.txt”)。 /D start [end] 只写入在 start 和 end 之间发放的许可证令牌(end 默认为当前日期)。 Windows Server 2003 终端服务器授权技术白皮书 13 /T /W Serverlist /? 只写入临时令牌 在报告中包括硬件 ID(仅适用于 Windows Server 2003 许证服务器)。 要查询的服务器列表。如果未指定,将从域控制器中获得该列表。 在屏幕上显示程序摘要信息。 用法: Lsreport [/F filename] [/D start [end]] [/T] [/?][serverlist] 示例: Lsreport Lsreport /T NTLS-1 NTLS2 终端服务器客户端许可证测试工具 终端服务器客户端许可证测试工具 (TSCTST.EXE) 包含在 Windows Server 2003 资源工具包 之中,可显示有关保存在客户端设备上的许可证令牌的详细信息。它是一个命令行工具,默认为显示如下信息: 证书发放者 范围 发放给计算机 发放给用户 许可证 ID 类型/版本 有效起始日期 到期日期 通过使用 /A 开关,会显示如下附加信息: 服务器证书版本 拥有许可证的产品版本 硬件 ID 客户端平台 ID 公司名称 Windows Server 2003 终端服务器授权技术白皮书 14 终端服务器许可证服务器查看器工具 终端服务器许可证服务器查看器工具 (LSVIEW.EXE) 包含在 Windows Server 2003 资源工具包 之中,可显示在网络中发现的许可证服务器。它是一个基于 GUI 的实用工具,显示找到的所有许可证服务器的名称和类型。它还可创建包含有关发现过程的高级诊断信息的日志文件。 首选许可证服务器 WMI 脚本 可使用如下 WMI 脚本设置首选许可证服务器: AddLicenseServer.vbs '*************************************************************************** ' ' WMI VBscript to add a specified License server to Terminal server's registry ' '*************************************************************************** if Wscript.arguments.count<1 then Wscript.echo \"Script requires one argument, the LicenseServerName\" Wscript.echo \"e.g. cscript AddLicenseServer LicenseServerName\" Wscript.quit end if Dim strServer strServer=Wscript.arguments.Item(0) for each terminal in GetObject(\"winmgmts:{impersonationLevel=impersonate}\").InstancesOf (\"win32_TerminalServiceSetting\") result = terminal.AddDirectConnectLicenseServer (strServer) WScript.Echo \"Method returned result = \" & result if err <>0 then WScript.Echo Err.Description, \"0x\" & Hex(Err.Number) end if next 可使用如下 WMI 脚本删除首选许可证服务器: DeleteLicenseServer.vbs '*************************************************************************** ' ' WMI VBscript to add a specified License server to Terminal server's registry ' Windows Server 2003 终端服务器授权技术白皮书 15 '*************************************************************************** if Wscript.arguments.count<1 then Wscript.echo \"Script requires one argument, the LicenseServerName\" Wscript.echo \"e.g. cscript DeleteLicenseServer LicenseServerName\" Wscript.quit end if Dim strServer strServer=Wscript.arguments.Item(0) for each terminal in GetObject(\"winmgmts:{impersonationLevel=impersonate}\").InstancesOf (\"win32_TerminalServiceSetting\") result = terminal.DeleteDirectConnectLicenseServer (strServer) WScript.Echo \"Method returned result = \" & result if err <>0 then WScript.Echo Err.Description, \"0x\" & Hex(Err.Number) end if next 可使用如下 WMI 脚本查询首选许可证服务器设置: QueryLicenseServers.vbs '*************************************************************************** ' ' WMI VBScript that queries the License servers configured for registry bypass. ' ' on the Terminal server ' '*************************************************************************** for each Terminal in GetObject(\"winmgmts:{impersonationLevel=impersonate}\").InstancesOf (\"win32_TerminalServiceSetting\") WScript.Echo \"The License Servers are = \" & Terminal.DirectConnectLicenseServers next 术语表 域许可证服务器 - 域许可证服务器的范围是一个域或一个工作组。 企业许可证服务器 - 企业许可证服务器是许可证服务器的默认设置。其范围是一个 Active Directory 站点。 Windows Server 2003 终端服务器授权技术白皮书 16 许可证代码 - 许可证代码是一个 25 个字符长的字母数字代码,代表所授予的许可证类型和编号。许可证代码是 Microsoft License Pack (MLP) 打包过程的一部分。 许可证密钥 - 许可证密钥包括代表许可证的数字证书位。TS CAL 的许可证密钥存储在客户端设备本地。 许可证密钥包 - 许可证密钥包是一组许可证密钥的数字表示形式。许可证密钥包安装在许可证服务器上,是许可证安装操作的结果。 许可证密钥包 ID - 许可证密钥包 ID 是一个 35 个字符长的、许可证密钥包的字母数字表示形式,使用 WWW 或电话方式时可使用它安装许可证。 许可证服务器 - 许可证服务器是一台运行 Windows Server 2003 操作系统的计算机,该计算机被配置为运行终端服务器授权服务。 许可证服务器激活 - 许可证服务器激活是出于发放许可证密钥的目的而向服务器分配一个有限使用的 X-509 证书的过程。 许可证服务器 ID - 许可证服务器 ID 是一个 35 个字符长的、许可证服务器证书的字母数字表示形式,可使用它通过许可证安装过程来获得许可证密钥包。 总结 终端服务器授权服务为管理和分配 TS CAL 令牌提供了一种机制。它与终端服务器、终端服务器客户端以及自动化的清算中心 (Clearinghouse) 协同工作,对许可证发放过程进行管理。该工具简化了系统管理员跟踪许可证的过程。 更多信息 有关 Windows Server 2003 系列、终端服务器以及终端服务器授权服务的更多信息,请访问: Windows Server 2003 Terminal Services http://www.microsoft.com/windowsserver2003/technologies/terminalservices/ 或 http://go.microsoft.com/fwlink/?LinkId=18340 Microsoft Windows Server 2003 http://www.microsoft.com/windowsserver2003 或 http://go.microsoft.com/fwlink/?LinkId=17533 Windows Server 2003 终端服务器授权问题及部署要求 http://support.microsoft.com/?id=823313 或 http://go.microsoft.com/fwlink/?LinkId=23444 Terminal Services FAQ http://www.microsoft.com/windowsserver2003/community/centers/terminal/terminal_faq.mspx#XSLTfaqSection121123121120120 或 http://go.microsoft.com/fwlink/?LinkId=23445 有关终端服务器授权服务的部署和管理的更多信息,请参见 Windows Server 2003 资源工具包 和 Microsoft® Windows® Server 2003 资源工具包 中的“部署规划指南”: Windows Server 2003 终端服务器授权技术白皮书 17 http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx 或 http://go.microsoft.com/fwlink/?LinkId=4298 Windows Server 2003 终端服务器授权技术白皮书 18 因篇幅问题不能全部显示,请点此查看更多更全内容