Terminal Server 2003 Kurulum ve Konfigürasyonu

Terminal Server, kullanıcıların remote bağlantı ile Windows server üzerinde ortak olarak çalışmalarını sağlayan bir servistir. Özel programlar üzerinde veya client bilgisayarların düşük konfigürasyonlarda çalıştığı ortamda güçlü bir server üzerinde çalışılması hem performans hem de maliyet açısından çok yararlı olacaktır. 4 adımda terminal server  mimarisini anlatmaya çalışacağım. İlk makalede terminal server kurulumu, 2. makalede client yapılandırması, 3. makalede lisanslama ve terminal servera lisans ekleme, son makalede ise yapılandırılmış bir terminal serverın performansının nasıl en iyi ve en güvenli şekilde yapılandıracağımız hakkında bilgi vereceğim.

Bu konuyla ilgili daha önce yazılmış makalelerden birkaçına aşağıdaki linklerden ulaşabilirsiniz:

Terminal Server Lisanslaması (Bölüm-1)

Terminal Server Lisanslaması (Bölüm-2)

Terminal Server Lisanslaması (Bölüm-3)

Terminal server kurulumunu Add/remove programs altında Windows componentlerinden ulaşabilirsiniz.

Şeki-1

Bu işlemden sonra kurulum işlemi başlayacaktır. Gelen pencere bilgilendirme penceresidir Next ile devam edebilirsiniz.

Şekil-2

Karşınıza gelecek yeni ekranda remote bağlanan kullanıcıların sistem içersinde Windows klasörü ve kayıt defteri gibi sistemin önemli bölümlerine müdahalede bulunup bulunamayacağı ile ilgili ayarlamayı seçiyoruz. Full security ayarı ile bu sistemin daha güvenceli olacağından bu seçeneği seçerek devam ediyoruz. Ayrıca bu ayarı kurulum sonrasında terminal server configration içerisinden tekrar ayarlamanız mümkün olacaktır.

Şekil-3

Bu bölümde terminal sever için bir lisans sunucusu belirtmeniz gerekecektir. İlerleyen makalelerde bu konudan bahsedileceği için şuanda ikinci seçenek olan Use automatic discovered license servers seçeneğini seçerek devam ediyorum.

Şekil-4

Bu bölümde ne şekilde bir lisanslama yapacağımızı belirtiyoruz. Terminal server için hazırladığım lisanslama ile ilgili 3. bölümde de detaylı olacak anlatacağım gibi 2 çeşit lisanslama türü vardır. Bunlardan biri makine başına lisanslama bir değeri de kullanıcı bazlı lisanslama. Her ikisinin de kendisine göre avantajları bulunmaktadır. Örneğin çalıştığınız ortamda vardiyalı bir çalışma sürdürülmekte. Bu durumda bir bilgisayarı en az 2 farklı kişi kullanır. Bu durumda 30 PC olan bir ortamda 60 çalışanımız olduğunu düşünürsek 60 tane kullanıcı lisansı almaktansa 30 adat makine başına lisans almamız maliyet açısından daha faydalı olacaktır. Konu hakkında detaylı bilgi sonraki terminal server lisanslama başlığında ayrıntılı şekilde ele alınacak. Ben bu bölümde Per Device seçeneğini seçerek devam ediyorum. ( Kurulumdan sonra bu seçeneği düzeltme şansımız olacaktır.)

Şekil-5

Son olarak gelen pencerede almış olduğumuz lisansların hangi locasyonda tutulacağını belirliyoruz. Default locasyon olarak %systemroot%\system32\LServer seçeneğinde tutulur. Ancak binlerce çalışanımız olduğu bir ortamda bu lisansların başka bir disk üzerinde veya partitionda tutmak isteyebilirsiniz.

Şekil-6

Kurulum bu aşamalardan sonra tamamlanacaktır. Sistemi yeniden başlattıktan sonra Administrator Tools altında terminal server için oluşturulan alanları kontrol edebilirsiniz.

Terminal serverın kullanıcılara hizmet verebilmesi için remote bağlanabilme özelliklerini etkin hale getirmelisiniz. Bunun için eğer bir firewall kullanıyorsanız 3389 portuna bu bilgisayar için izin vermeniz gerekir ayrıca server üzerinde bilgisayarım simgesini sağ tıklayarak özelliklerinde remote tabında uzak erişimine izin vermeniz gerekir.

Şekil-7

Terminal server kurulumundan sonra Administrative Tools bölümünde terminal server manager, terminal server licensing manager, terminal service configration seçenekleri aktif olacaktır.

Terminal Server Manager: Terminal server istemcilerin yönetilmesinde birincil olarak kullanılan araçtır. İstemcilerin bu bölümden takip edebilir kullandıkları işlemleri kontrol edebilir ve bunlara müdahale edebilirsiniz.

Terminal Server Licensing Manager: Satın almış olduğunuz lisansları terminal server üzerinde etkinleştirmeniz için kullanılan seçenektir. Varsayılan olarak remote bağlantıya Windows server 2003 içersinde 2 administrator herhangi bir lisans kısıtlaması olmadan bağlanabilir. Bunun dışında 120 gün süre ile tüm remote desktop kullanıcıları terminal sever üzerine herhangi bir kısıtlama olmadan bağlanma haklarına sahiplerdir.

Terminal Services Configration: Bu seçenekte varsayılan sunucu ilkelerini ve terminal server yapılandırmasını oluşturmada kullanılır. Genel olarak setup aşamasında oluşturulan seçenekleri bu bölümden tekrar yapılandırmanıza olanak sağlar.

Kullanıcı dosyalarını bir file server üzerinde tutmak ve bu şekilde sürekli yedekli çalışmak birçok firmanın uyguladığı bir yöntem. Microsoft Server 2000 ve 2003 üzerinde uygulayabileceğimiz Folder Redirection özelliği ile kullanıcılarınızın Desktop, My Documents, Start Menu, Application Data klasörlerini networkte belirlediğiniz bir veya daha fazla yere oturum açılırken ve kapatılırken taşıma yapabilirsiniz. Tüm client PC’lerinizde ki dosya ve klasörlerin belirlediğiniz bir sunucu üzerinde tutulması, backup ve restore aşamalarındaki iş yükünüzü azaltacaktır.

Peki Folder Redirection özelliğini nasıl kullanabiliyoruz şimdi buna bakalım. Bu makalede kullanıcıların Dektop ve My Document’lerini file server üzerinde tutacağız. Kullanacağımız bilgisayarların bilgileri aşağıdaki gibidir;

R2-scsd.emrea.local : DC + File Server
Aristalos.emrea.local : Client PC

1. Kullanıcıların bir OU içerisinde yaratılmış olduklarını ve bu OU’ya bir policy’nin linklendiğini düşünüyorum. Bu makalede FR isimli OU’ya FolderRedirection isimli GPO linklenmiş durumda. GPO’yu seçip sonrasında Edit’e klikleyelim.

Şekil-1

2. User Configuration > Windows Settings > Folder Redirection > Desktop’a kadar ilerleyin ve sağ klikleyip Properties’i açın. Desktop Properties penceresinde Basic, Advanced ve Not configured karşınıza gelecektir.

Basic: Tüm kullanıcı datasını tek bir paylaşımlı klasör içerisine yönlendirebilirsiniz.
Advanced: Gruplara göre farklı paylaşım alanları atayabilirsiniz.
Not configured: Default gelen, herhangibir yönlendirmenin yapılmadığı seçenektir.

Şekil-2

3. Basic’i seçip alt taraftan atanan paylaşımlı klasörün yolunu gösterin. Create a folder for each user under the root path’in seçilmesi sonrasında, file server üzerinde manuel yaratıp paylaştırdığınız klasör altında her kullanıcıya ait bir tane klasör yaratılacaktır. Dektop için yaptığınız bu ayarlamayı GPO’da aynı yerden My Document için de gerçekleştirebilirsiniz. Bu noktada yönlendirilecek her klasör (Desktop, My document…) için sunucuda farklı bir paylaşımlı klasör yaratılmış olması sonraki zamanlarda işlerinizi kolaylaştırabilir. Klasörünüzü paylaştırırken Authenticated Users grubuna ya da kullanıcılarınızı barındıran sizin yarattığınız gruba Read ve Write vermeniz yeterli olacaktır.

Şekil-3

4. Kullanıcılar login oldukları sırada belirlenmiş klasörlere belgeleri gelmeye başlayacaktır.

Şekil-4

5. Kullanıcı PC’sinden bakıldığında yaratılan dökümanların alt köşelerinde ilk senkronizasyona kadar offline kullanım ikonunun görüntülenmemesi normal bir davranıştır.

Şekil-5

6. İlk logoff ve login sonrasında ise tüm dosyaların senkronizasyonu yapılmış olacaktır.

Şekil-6

7. Tüm dosyaları aylık olarak farklı bir lokasyona backup almak için file server üzerinde kullanıcılar için yaratılan klasörlere çift tıklayıp erişilmek istenildiğinde Access is Denied uyarısı alabilirsiniz.

Şekil-7

8. Bu sorunla hiç karşılaşmamak için GPO üzerinde User Configuration > Windows Settings > Folder Redirection > Desktop > Properties > Settings’e kadar ilerleyip Grant the user exclusive right for My Documents kutucuğunu boşaltmanız gerekmektedir. Kutucuğu boşaltmadan kullanıcılara Policy’yi deploy etmeniz sonrasında bu kullanıcıların file server üzerinde duran klasörlerine çift tıklayarak ulaşamazsınız. Klasörlerin üzerinde  manuel izin vermeniz ya da sahipliğini almanız ikinci bir çözüm olacaktır fakat bu işlemden sonra kullanıcılarınız bu klasörleri kullanamaz hale düşebilirler.

Şekil-8

9. Bu değişikilkten sonra policy’den etkilenmeye başlayan Pinar Keskinci kullanıcısı için artık file server üzerinden dektop klasörüne Administrator kullanıcısı çift tıklayarak erişilebilir. Daha önce policy’den etkilenmiş ve administrator hesaplarının erişemediği kullanıcılarınız için ise file server üzerindeki klasörlerin sahipliklerini alıp silme işlemi yapabilirsiniz. Kullanıcı ilk login olduğunda file server üzerinde Administrator hesaplarınında ulaşabileceği şekilde yeni bir klasör oluşturacaktır.

Şekil-9

10. Oturum açılırken ya da kapatılırken senkronizasyon işlemi yapılmasını istemiyorsanız bunu My computer > Tools > Synchronize…’dan değiştirebilirsiniz. Aynı şekilde bu değişikliği Policy üzerinden de gerçekleştirme şansınız bulunuyor.

Şekil-10

11. Kullanıcıların farklı bir OU içerisine taşınmasından sonra daha önce uygulanan folder redirection özelliğinin tamamen kapatılabilmesi için gerçekleştirilmesi gereken bazı adımlar bulunmakta. Bu adımlar gerçekleştirilmediğinde kullanıcıya Folder Redirection’ı barındıran bir Policy etkimesede her oturum açıldığında ya da kapatıldığında file server’a daha önceden redirect edilen klasörlerin senkronize edilmeye çalışıldığını göreceksiniz. Bu durumu tamamen ortadan kaldırmak için kullanıcı bilgisayarında My Computer > Tools > Folder Options > Offline Files altında ki Enable Offline Files kutucuğunu boşaltmanız yeterli olacaktır.

Şekil-11

12. Aynı işlemi registy anahtarlarını kullanarak yapmak isterseniz, kullanıcı bilgisayarındaHKLM\SOFTWARE\Policies\Microsoft\Windows\NetCache anahtarı içerisine Enabled=0 değerinde bir Dwordyaratmanız yeterli olacaktır.

13. Aynı işlemi GPO kullanarak gerçekleştirmek isterseniz, Computer Configuration > Administrative Templates > Network > Offline Files altındaki Allow or Disallow use of the Offline Files feature seçeneğini kullanabilirsiniz.

Not: Son olarak kullanıcılarınız şirket dışında iken redirect edilmiş dosyalar ile çalışamayacaklar mı! Cevap tabi ki çalışmaya devam edebilirler. Kullanıcı bilgisayarındaki dosyalarını file server’a bağlı olmaksızın kullanmaya devam edebilir, file server ile ilk bağlantı sonrasında dosyalar tekrar sync edilir ve eş hale getirilir.

Tips: Offline files ile ilgili olarak GPO üzerinde hem User Configuration altında hemde Computer Configuration altında seçenekler bulunuyor, bundan dolayı açmak yada kapatmak istediğiniz offline files özelliklerine bu iki alan altından ulaşabilirsiniz.

Şekil-12

Video – MED-V Server Kurulum ve Konfigürasyonu – Bölüm 1