sun_way 发表于 2011-3-4 14:46:22

微软终端服务部署优化

本帖最后由 sun_way 于 2011-3-4 16:04 编辑

上次发过一个文字版的微软终端及Thinprint应用的文字版,一直没上图片,今天补上。
一、修改系统安装盘内容(2003SP2,32位系统,企业版)
用nLite(绿色版下载地址:http://www.xdowns.com/soft/softdown.asp?softid=29283
注意此程序要基于FrameWork2.0.50727.42地址:http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5)
对安装盘进行一定的修改,笔者修改时选择了移除组件、选项及优化调整直到完成(优化这一项只是将tcpip.sys默认的10线程改成了1000,未抓图,注意此tcpip.sys版本号为5.2.3790.4573,而非2003SP2默认的版本文件,如果找不到的话,当你将系统安装并升级完补丁后,自然就是5.2.3790.4573了,将该文件复制一份,在cmd下输入makecab tcpip.sys tcpip.sy_,然后替换掉nLite优化系统的I386里的tcpip.sy_,再次将其线程修改为1000并完成后,将此tcpip.sy_复制出来后,在cmd下输入expand tcpip.sy_ tcpip.sys,然后替换掉dllcache目录里的文件,而后再替换drivers目录里的tcpip.sys文件),如图(因为此图为优化后的选项,所以跟你的系统有所不同,可以仿照优化即可,优化的主要目的是去除系统自带的打印机驱动,原因见后面。注意是驱动程序里的打印机驱动而非硬件支持里的打印机,这一点一定要注意,笔者失败了两次,一次为键盘布局、语言,所以未勾选上,另一次为将硬件支持里的打印机给清除,郁闷啊):

修改过后如下图:

优化后的安装文件夹如下图:

直接将I386复制到硬盘里,通过PE安装系统,两个分区就够了,一定要是NTFS分区。系统安装略(注意笔者习惯将每服务器允许连接数默认的5个联接改为9999)。系统安装完成后(不进系统),用PE光盘进系统,用工具PASSWDRENEW.EXE(软件界面如下图)

新建一个管理员帐号(避免系统直接用administrator来登录,笔者试过32/64位的2003都能更改)。
二、系统组件增删,应用程序安装及部分优化
用新建的管理员帐户登录系统,将administrator改成一个怪怪的用户,并设一个难猜的密码,安装硬件驱动(略)。
因应用需要,将系统里的IE安全组件删除,添加了终端服务组件,如图

完成后,重启系统,并激活终端服务器(控制面板-管理工具-终端受权,这一部分略),修改终端默认的3389端口号。注册表位置共两个,分别如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp,将右边窗口里的PortNumber改成其他端口,最好是1024以后的,如图,

修改时注意将基数改成十进制。另一处为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp右边窗口的PortNumber,修改完后要重启系统才能生效。
安装欲发布的应用程序,输入法(相当烦微软拼音输入法,从注册表里搜索“微软拼音,找到一处删一处直至删完,有些是删除项而非值)等。用注册表清理工具(米老鼠注册表清理工具,勾选取如图)

扫描完成后,注意要留下“英语美国”这一项,不然添加输入法要出错,如图:

安装ThinPrint程序,笔者安装的是TPASE的7.6版本并重启系统(该安装包坛子里有下载,自己找找),如图:

注意不安装VC Gateway(本文是RDP应用),并激活(KEY不要找我),设置时注意将.print Engine设置为如下图中的Virtual Channel Protocol (ICA or RDP)

AutoConnect也设置为Virtual Channel Protocol (ICA or RDP),如图:

三、添加系统用户
添加用户将所有用户目录(即All users目录权限设为Remote Desktop Users拒绝读取,如图:这样新建用户所有程序就为空(其实是没 有访问权限)

将用户组里的Remote Desktop Users改个名字,便于添加用户,如RDUser,如图

写个批处理命令,命令如下:
net user test testuser /add
net localgroup RDUsers test /add
解释一下:第一行表示添加用户名test密码为testuser用户
第二行表示将test用户添加到RDUsers组(即前面改的远程登录用户),当然也可以用右键添加用户并添加到相应的组里,但这个较慢。添加用户完成后,运行mstsc,计算机里输入127.0.0.1:端口,登录到本机,调整好设置如图,用得着的程序都添加快捷方式到桌面,感觉好象某些网管软件就有此功能(所有程序为空):

然后退出test用户,用管理员复制Default User文件以备用,将test用户目录的内容替换掉Default User目录里的文件,并将test用户目录里的桌面/收藏夹/我的文档这三个文件夹设为test拒绝写入(注意不是拒绝读取)。
再次建议多个用户(用户名一定不要相同),并添加到远程用户组里(如果前面用批处理已经添加用户,此跳过添加多个用户),设置同test用户(主要是文件夹的写入拒绝,不然用户登录里会习惯将文件写在终端服务器的硬盘里)。
四、组策略设置系统安全(可以用Advacned Security Administrator来取代,该软件可以限制某用户权限,据说哪怕是管理员级别的,但笔者未安装测试)
用管理员将组策略里“计算机配置-终端服务-会话”右边窗口下图中的三项启用,如图:

参数分别为10分钟,从不,1小时,主要目的是节约服务器资源,怕有用户接入后又不操作,却占着系统资源,所以有必要的话可以将1小时设短一点。
添加自动删除临时文件批处理,在启用里输入清理临时文件的批处理路径,用户登录时会自动运行该程序从而删除缓存等无用的文件。如图:

在“通用打开文件夹对话框”将右边全部启用,如图:

此目的为保存/另存文件里对话框变得象Win98,找不到网上邻居之类的如图:

而不是下图,以保证网络安全

启用下列设置,如下图(注意隐藏驱动器及防止访问驱动器都为全部驱动器,如果自己要访问,可以是命令行访问,也可以是禁用后再访问,在cmd里输入gpedit.msc便可打开组策略)



禁用注册表(在用户配置-管理模板-系统),禁用运行(在用户配置-管理模板-任务栏和开始菜单,以防止用户在地址栏里输入\\IP或C:\进行访问),禁止修改IE安全设置,以免客户端用户更改IE设置(如图)。

五、客户端程序安装
客户端(可以是瘦客户端)安装好ThinPrint的打印客户端程序(如果终端服务器系统带有系统自带的打印驱动,而客户端的打印机又刚好在服务端有驱动的话比如LQ1600K,将会在服务器上自动安装相应的打印驱动,所以笔者要将系统自带打印驱动删除而用TP来取代,原因是TP占用带宽小很多),用mstsc登录到服务器就能访问远程终端服务器所提供的应用程序,不过建议用Multidesk这个(目前)绿色免费软件(地址:http://www.hoowi.com/multidesk/index_chs.htm,设置很简单,图略)来取代,且建议将mstsc升级到6.0以后才能是映射分区,用5.x的mstsc联接(Multidesk不支持5.x的mstsc分区映射)映射为整个客户端硬盘而非分区;映射的分区最好是定期将文件移走,以减少从服务端导数据到客户端时超时之类的事情发生。Multidesk还有一个好处就是连到终端服务器的桌面自动适应Multidesk程序窗口大小,如图:

后面待续,找人补上或明天再传。不好意思。

linghu435 发表于 2011-3-4 15:52:24

不错,很详细,但现在很少用2003了,现在公司用windows server 2008 R2,数据库也是
SQL SERVER 2008 R2,两者非常匹配,安全性也很高,就是 64位打印机驱动不好找,还有终端服务找不到合适的破解

wints 发表于 2011-3-4 16:27:17

windows 2008 /2008 R2已经成为主流

dufeng888999 发表于 2011-3-4 16:48:54

神秘人 发表于 2011-3-4 19:51:29

不同的客户机,登陆时只映射自己的打印机
在citirx5.0如何设置??
不让他们互相都能看到每个人很多的打印机。只让各自看到各自的。

zzg123 发表于 2011-3-5 18:51:22

很不错谢谢分享:):):):):):):):):):):):):):):):):):):):):):):)

sun_way 发表于 2011-3-6 09:38:29

不好意思,耽搁了几天。补上后面部门:
Multidesk还有一个好处就是连到终端服务器的桌面自动适应Multidesk程序窗口大小,如图:

六、备份系统,略。如果说两个分区,D盘保存操作系统安装程序、应用程序,系统备份,将该分区设为拒绝远程桌面用户读取,那么可以只启用隐藏驱动器及防止访问驱动器都为驱动器驱动器C就行了。笔者系统常规属性(终端抓的图,所以色彩不鲜)如下图:
带十多个用户,CPU及内存占用、进程数如下图


多几台这样的计算机,做成终端服务器组(非群集),每一台端口号不同,告诉用户访问对应的端口号,这样就只占用一个公网IP(映射在防火墙上),并用防火墙将这些服务器单独划成一个组,与其他服务器隔开,从而来保证其他服务器如SQL/Web/Mail等的安全。

sun_way 发表于 2011-3-6 09:42:05

神秘人 发表于 2011-3-4 19:51 static/image/common/back.gif
不同的客户机,登陆时只映射自己的打印机
在citirx5.0如何设置??
不让他们互相都能看到每个人很多的打印 ...

这个倒没有注意到。不过就默认终端来说,只要不是管理员级别的,好象只能看到自己映射的打印,不能看到别人计算机的打印哦。

netszone 发表于 2011-3-7 17:11:38

好东西!!!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!

sun_way 发表于 2011-3-10 16:17:47

本帖最后由 sun_way 于 2011-3-10 16:19 编辑

2008R2安装TPASE V7.6X64成功了。先上一张图。

页: [1] 2
查看完整版本: 微软终端服务部署优化