Tuning für Terminalserver
Zusatzprogramme – Die Terminal-Services sind eine Schwachstelle von Windows-Server-2003: Mängel bei Funktionalität, Sicherheit und Komfort machen Administratoren Probleme. Tuning für Terminalserver verspricht Abhilfe.
Theoretisch sprechen gute Gründe für Terminalserver: Sie senken die TCO, weil Anwendungen zentral verwaltet und Thin-Clients genutzt werden können. Außerdem fördern sie mobiles Arbeiten, da von überall aus die benötigten Anwendungen und Daten zur Verfügung stehen. In der Praxis kommt als Betriebssystem häufig Windows-Server-2003 zum Einsatz – und dessen Terminal-Services eignen sich eher für einfache Fernwartungsaufgaben als für einen ausgewachsenen Terminalserver.
Anwendungsstart
Die Schwächen zeigen sich bereits bei einer simplen Aufgabe: Wie startet der Anwender ein Programm, das sich nicht auf der lokalen Festplatte, sondern auf dem Terminalserver befindet? Am komfortabelsten geht das mit einer Desktop-Verknüpfung, die vom Administrator jedoch manuell erstellt werden muss – bei mehreren Dutzend oder Hundert Anwendern und Programmen ein undankbarer Job. Besser wäre es, wenn Server-2003 automatisch diejenigen Terminal-Programme und -Dokumente veröffentlichen würde, für die der Benutzer oder die Gruppe eine Berechtigung besitzt. Außerdem sollte der Administrator nutzer- und gruppenspezifische Rahmenbedingungen definieren können, deren Einhaltung Server-2003 vor dem Programmstart sicherstellt – beispielsweise eine Laufwerkszuweisung. Diese Möglichkeiten lassen sich mit Tools von Drittherstellern umsetzen, nicht jedoch mit Bordmitteln von Server-2003. Erweiterungen wie der »Netman Desktop Manager« von H+H Software sollen genau die Funktionen zur Verfügung stellen, die Administratoren beim Server-2003 vermissen.
Aus Anwendersicht ist der Programmstart ebenfalls zu umständlich. Bereits die Anmeldung beim lokalen Windows-Start empfinden die meisten Benutzer als lästig. Starten sie ein Programm auf dem Terminalserver, wird erneut eine Anmeldung fällig – je nach Konfiguration möglicherweise mit anderen Login-Daten. Das Terminalprogramm unterscheidet sich optisch auffällig von lokalen Anwendungen: Server-2003 zeigt es in einem zusätzlichen Terminalfenster. Erlaubt das Programm seinerseits noch mehrere Kindfenster, wie es in den meisten Fällen üblich ist, leidet massiv die Übersicht. »Das erschwert die Akzeptanz von Terminalservern bei den Anwendern«, meint Christian Knermann, Kuratoriumsmitglied des European Thin Client Forums ETCF.
Verbesserungspotential sieht Knermann auch beim Thema Drucken. Die Server-2003-Lösung funktioniert, so lange der Administrator sämtliche Drucker kennt, die im Unternehmen eingesetzt werden – und so lange er für jeden dieser Drucker einen kompatiblen Treiber auf dem Terminalserver bereitstellen kann. Gibt der Anwender aus einem Terminalprogramm heraus den Befehl zum Drucken, generiert der Spooler des Terminalservers in Zusammenarbeit mit dem Druckertreiber die Rohdaten und schickt sie übers Netz an den Client.
Probleme treten auf, sobald auf dem Terminalserver nicht der passende Druckertreiber verfügbar ist – beispielsweise, weil sich ein Mitarbeiter von unterwegs aus eingeloggt hat und den vor Ort gerade verfügbaren Drucker nutzen möchte. In diesem Fall versucht Server-2003 ab Service-Pack 1, den sogenannten Fallback-Druckertreiber einzusetzen. Ob dabei etwas Sinnvolles herauskommt, hängt vom Druckermodell ab: Voll Postscript- und PCL-kompatible Geräte haben bessere Karten als günstige Tintenstrahldrucker mit proprietärer Druckersprache. Modellspezifische Features wie Duplex- oder randlosen Druck unterstützt der Fallback-Treiber naturgemäß nicht. Außerdem funktioniert er nur dann, wenn auf dem Client Windows-XP oder -Vista installiert und der Drucker über USB oder Parallelport angeschlossen ist.
Eine brauchbare Alternative sieht Knermann darin, die Druckdaten in einem neutralen Format zum Client zu schicken und erst dort die druckerspezifische Aufbereitung durchzuführen. Als Transportformat bietet sich beispielsweise das PDF-Format an. Auf dem Terminalserver wird ein universeller PDF-Druckertreiber installiert, auf den Clients hingegen der modellspezifische Druckertreiber. Gibt der Anwender nun den Befehl zum Drucken, erzeugt der Spooler des Terminalservers ein PDF und schickt es zum Client, wo es im lokal installierten Adobe-Reader geöffnet wird und gedruckt werden kann. Dabei stehen dann alle Besonderheiten des lokalen Druckers zur Verfügung. Mit Bordmitteln von Server-2003 ist diese Lösung wiederum nicht zu realisieren, es gibt jedoch mehrere universelle Druckertreiber von Drittherstellern.
Stiefmütterlich behandelt Server-2003 das Thema Lastverteilung. Von Haus aus kennt das Microsoft-Produkt das Network-Load-Balancing (NLB), welches die Lastverteilung auf IP-Basis ermöglicht. Sinnvoller erscheint jedoch eine Lastverteilung auf der Grundlage von Sitzungsanzahl, Prozessor- und Speicheraus- lastung. Fällt ein Server beispielsweise durch einen Hardware-Defekt aus, sollte der Anwender automatisch auf einen anderen Server umgeleitet werden.
Schmerzlich vermissen die meisten Administratoren bei Server-2003 auch ausgereifte Report- und Überwachungs-Funktionen. Nützlich sind beispielsweise detaillierte Statistiken über alle zugelassenen und geblockten Aktivitäten. Außerdem sollte der Administrator den Client-Desktop einsehen und dort Programme starten können. Ein Lizenzmonitor könnte einen schnellen Überblick über die aktuell belegten und freien Lizenzen.
Nachrüsten sollte Microsoft auch bei den sicherheitsrelevanten Funktionen. Die Gültigkeit der RDP-Datei, die für jeden Anwendungsstart benötigt wird, ließe sich zeitlich begrenzen. Dies könnte verhindern, dass böswillige Anwender die entsprechenden Daten mehrfach verwenden und so von einer unautorisierten Station eine Anwendung starten. Eine weitere Schutzmaßnahme wäre es, den Zugriff auf Anwendungen zu sperren, wenn die Clients bestimmte IP-Adressen oder DNS-Namen aufweisen. Auch der Zugriff auf lokale Laufwerke des Clients ließe sich im Idealfall reglementieren – beispielsweise um zu verhindern, dass Daten aus einer Terminalserver-Sitzung heraus auf einen USB-Stick übertragen werden.
Fazit
Wer einen Terminalserver unter Server-2003 betreibt, vermisst eine einfache Bereitstellung der Anwendungen, ausgereifte Möglichkeiten zum Drucken, zur Lastverteilung und Lizenzverwaltung und generell einen gewissen Nutzerkomfort. Mitte bis Ende dieses Jahres soll der Nachfolger Windows-Server-2008 erscheinen. Welche Verbesserungen Microsoft bei den Terminal-Services vornimmt, bleibt abzuwarten. Im Zweifelsfall lässt es sich auch mit Server-2003 gut leben: Zusatzprogramme von Drittherstellern wie der Netman-Desktop-Manager von H+H beseitigen die erwähnten Mängel bereits heute.
Alexander Vierschrodt,
Produktmanager H+H Software
