WindowsServer2008R2RemoteApp深度体验之一,RemoteApp服务器部署
Windows 2008 R2 远程桌面服务
Windows 2008 R2 远程桌面服务(一)安装远程桌面服务先说明一下:安装终端服务最好在域中的计算机上进行,一是可以方便的添加用于访问该服务的用户;二是可以方便的发布RemoteApp程序;三是可以减少用户的认证次数。
但不要在域控制器上安装终端服务,这会造成很大的安全隐患,终端服务会打开服务器的3389端口,这个黑客最喜欢的端口会给你的域控制器带来很大的麻烦。
微软的测试环境搭设:一台windows 2008域控制器,一台windows 2008终端服务器,一台windows 7客户端。
关于windows 2008的终端服务的解释,就不说了,微软的Technet上说的很详细。
/zh-cn/library/dd640164(WS.10).aspx。
Windows 2008微软的终端服务比windows 2003强了很多。
Windows 2008终端服务的角色服务有:Windows 2008 R2 64位的终端服务现在已改为远程桌面服务,其实功能还是差不多,只是换了个名称而已。
●远程桌面会话主机(必选,用户使用该功能访问服务器资源)●远程桌面虚拟化主机(RemoteApp功能)●远程桌面授权(终端服务访问许可证,不申请最多可以使用120天)●远程桌面连接代理(负载平衡)●远程桌面网关(可以通过Internet访问RemoteApp程序)●远程桌面Web访问(用户使用IE浏览器通过内网或外网访问RemoteApp程序)主要的改变在两点,多了RemoteApp和远程桌面Web访问。
其实还有远程桌面网关,不过远程桌面网关也是为远程桌面Web访问服务的。
远程桌面网关支持从Internet访问,我没有申请的域名,因此就不测试了。
使用域管理员帐号登录,开始安装1、安装windows 2008终端服务服务管理器—添加角色,下一步。
选择“远程桌面服务”,下一步。
出现“远程桌面简介”,不用管它,继续下一步。
选择“远程桌面服务”,下一步。
Windows_Server_2008_R2_RemoteApp远程桌面网关
角色列表中选择“远程桌面服务
在远程桌面服务的角色服务中勾选“远程桌面网关”。向导提示要部署远程桌面 网关,还需要安装IIS,NAP等组件。选择“添加所需的角色服务”,安装向导会 自动安装所需组件。
接下来要为远程桌面网关选择服务器证书。选择服务器上的计算机证书 ,点击“导入”,就为远程桌面网关完成证书设置了。如果我们选 择自签名证书,那会遇到一个麻烦,就是客户机并不信任自签名证书的颁发机构,我们还 需要手工为客户机设置受信任的证书颁发机构。因此在实际生产环境下,最好还是在企业 内部署一个CA服务器。
CAP和RAP策略需要有网络策略服务器的支持,如图16所示,向导自动勾 选了“网络策略服务器”角色,点击“下一步”可以进行安装
角色服务中还需要有IIS7,向导中对IIS7的功能进行了简单描述,点击 “下一步”可以看到IIS7中所需的具体组件。
向导中列出了IIS7中所需要的组件详细清单,一般情况下我们不需要进行 修改
远程桌面网关服务器导入证书后,接下来需要设置策略。我们需要为远 程桌面网关创建CAP和RAP策略,我们选择现在就创建策略
我们需要为远程桌面网关服务器设置用户组,这些用户组可以通过远程 桌面网关访问到内网的网络资源。默认的用户组是administrators,我们 添加了Domain Users组,这样任何域用户都可以使用远程桌面网关了
确认所要进行的组件安装是正确的,点击“安装”按钮开始远程桌面网关 的角色安装
三
远程桌面网关测试
• 部署完远程桌面网关后,我们在客户机上 测试一下效果。本次实验我们就不设计防 火墙及外网的客户机了,直接用内网的XP 客户机测试一下。在XP客户机的附件中打 开远程桌面连接,
在常规标签中输入远程桌面服务器的计算机名 “
堡垒机应用服务器(remoteapp)配置手册 - V2006
目录1应用服务器介绍············································································································· 1-11.1 支持Windows server 2008的版本··················································································1-11.2 RemoteApp应用发布介绍 ····························································································1-11.3 RemoteApp对终端的要求 ····························································································1-11.4 RemoteApp对终端的要求 ····························································································1-11.5 应用服务器授权许可介绍······························································································1-2 2安装前的准备················································································································ 2-12.1 注意事项···················································································································2-12.2 RDS授权码(仅限合同客户)·······················································································2-1 3应用服务器安装步骤······································································································· 3-13.1 安装远程桌面服务(必须步骤)·····················································································3-13.2 应用服务器激活和授权(如果是测试客户,可忽略此操作) ··············································· 3-173.2.1 激活应用服务器······························································································· 3-173.2.2 安装应用服务器授权许可证················································································ 3-283.3 调整应用服务器的策略(必须步骤)············································································· 3-393.3.1 调整本地组策略······························································································· 3-393.3.2 设置RD授权模式 ···························································································· 3-453.3.3 允许用户在初始连接时启动列出和未列出的程序 ····················································· 3-493.3.4 关闭windows防火墙 ························································································ 3-513.3.5 关闭IE增强的安全配置····················································································· 3-523.3.6 开启远程桌面·································································································· 3-543.4 发布RemoteApp程序 ······························································································· 3-56 4运维审计系统与应用服务器结合使用·················································································· 4-14.1 rdp文件应用发布········································································································4-14.2 IE代填应用发布 ······································································································· 4-11i1 应用服务器介绍应用服务器由windows server 2008服务器平台搭建的。
2008 R2远程桌面
Windows 2008 R2远程桌面服务(一)本文主要是介绍Windows 2008 R2远程桌面服务以及如何部署该项服务,文章分为两部分,第一部分主要介绍该技术以及基本部署。
第二部分则侧重远程桌面Web访问,它与Outlook Web Access有相似之处,只不过前者主要用于终端服务会话,此外,我们还要对远程桌面的RemoteApp进行了解,该应用会在桌面产生一个图标,用户只需点击该图标就可访问应用,而不需要加载整个桌面会话。
远程桌面服务或说RDS是一项由来已久的Windows终端服务,只不过它经历了许多更新和发展。
那些曾将终端服务当作Citrix基础的企业,现在大都不再需要Citrix了,因为以前主要来自Citrix插件的功能已经被Windows 2008 R2 RDS替代。
微软已经对其功能和兼容性进行升级,以前需要Citrix进行补充的功能已经包含在其中。
通过x64位主服务器,我们可以将32Gb或64Gb以及8核或16核放入单一系统中,让150-250名用户同时处在同一个RDS服务器上。
RDS的主要特性:1.可以同时让多个用户处于同一RDS主服务器,从而使大量RDS服务器都处于加载平衡状态。
2.用RDS Session Broker服务器平衡RDS服务器的加载,并且当用户断开链接时将其重新连接到服务器上。
3.将RDS网关服务器接入网络,以便远程用户通过标准SSL 443端口访问RDS主机(而不是通过经常被防火墙拦截的3389端口)。
4.将RDS Web Access服务器接入网络,因此远程用户只能连接一个网页并通过一个页面来访问其RDS应用,而不需要获取全部桌面会话。
5.将RDS RemoteApp服务器接入网络,这样用户桌面会产生一个相应图标,双击该图标就可打开一个应用,而不需要了解该应用是否以RDS托管应用的方式运行。
我们还可以将这些服务器角色结合起来尽可能减少所需的系统数量,或者我们也可以对该环境进行扩展,大大增加其资源量和用户量。
Windows Server 2008 R2 应用架构-第02部分 远程管理、TS Gateway及RemoteApp
客户端登入网域的帐户,必须在服务器也能用来 登入网域,而且允许与服务器建立联机(请参考 19-9页的『指定允许联机的使用者或群组』)。
符合上述的条件后,请在服务器与客户端分别 启用SSO功能。
在安全性阶层字段的交涉,代表服务器会与客 户端协调,若客户端支持SSL (TLS1.0),便优 先使用此加密方式;否则便使用RDP加密方式。 因为Windows Vista和Windows Server 2008 都支援SSL (TLS1.0),所以协调的结果当然还 是使用SSL (TLS1.0)。 换言之,选取交涉或SSL (TLS1.0)的结果都是 采用SSL (TLS1.0),而这里所谓的启用其实只 是确认而已。
但是我们实测结果并非如此,虽然安装了RDC 6.0,却仍不支援网络层级验证,即使是 Windows XP SP3亦然。
在19-1节曾简介『单一登录』功能,此功能对 于中大型网络的用户来说相当实用,可以免除 一再输入用户名称与密码的困扰。 不过要达到此功能,必须具备以下的条件:
客户端必须采用Windows Vista / Vista SP1或 Windows Server 2008系统,服务器必须采用 Windows Server 2008系统。 服务器与客户端必须都加入相同网域或互相信任 的网域。
假设客户端是Windows Vista系统,请按开始 钮输入"gpedit.msc"、按Enter键,开启本地 组原则编辑器窗口:
接着再按两次确定钮、关闭本地组原则编辑 器视窗,即可完成设定,最后重新启动系统,才 能让此组策略生效。 然后执行『开始/所有程序/附属应用程序/远 程桌面联机』命令:
3.与要遥控的服务器(亦即被控端)建立联机。
在Windows Server 2008的画面和说明文件中, 有的显示SSL加密;有些则显示TLS加密,到底 是哪一种才对?其实两者的意思相同。 SSL (Secure Socket Layer)是Netscape公司 所推出的协定,由于受到广泛使用,发展到了 3.0版时,被IETF组织加以修改成为国际标准, 称为TLS (Transport Layer Security) 1.0 版,相关规格记载于RFC2246。 从技术面来看, SSL 3.0与TLS 1.0的差异极 小,一般将两者视为相同,所以经常会将SSL与 TLS两个名词混用。
2-使用 RemoteApp 和桌面连接部署 RemoteApp
使用RemoteApp 和桌面连接部署RemoteApp 程序到「开始」菜单循序渐进指南关于本指南应用到: Windows 7, Windows Server 2008 R2本循序渐进指南将引导您完成在测试环境中使用RemoteApp 和桌面连接设置正常工作的RemoteApp 源(可以从Windows® 7 计算机的「开始」菜单访问)的过程。
在此过程中,您将创建包含以下组件的测试部署:●远程桌面连接代理(RD 连接代理)服务器●远程桌面Web 访问(RD Web 访问)服务器●远程桌面会话主机(RD 会话主机)服务器●远程桌面连接客户端计算机●Active Directory 域控制器完成本指南中的这些步骤后,您将:●在CONTOSO 域中设置所需的服务器。
●安装和配置RemoteApp 和桌面连接。
●验证RemoteApp 和桌面连接是否正常运行。
RemoteApp 和桌面连接的目标是向客户端计算机的「开始」菜单发布RemoteApp 和桌面连接程序。
技术回顾通过使用RemoteApp 和桌面连接,管理员可以向其用户提供一组资源,如RemoteApp 程序和虚拟机。
用户可以通过两种方式连接到RemoteApp 和桌面连接:●从运行Windows 7 的计算机。
在这种情况下,如果已进行设置,则包含在RemoteApp和桌面连接中的资源将显示在「开始」菜单中“所有程序”下名为“RemoteApp 和桌面连接”的文件夹中。
●从Web 浏览器登录到RD Web 访问提供的网站。
在这种情况下,不需要运行Windows 7 的计算机。
在本指南中,将了解使用RemoteApp 和桌面连接访问RemoteApp 程序。
本指南中描述的测试环境包括五台连接到专用网络且使用以下操作系统、应用程序和服务的计算机:这些计算机构成了专用网络,且通过常用集线器或第 2 层交换机进行连接。
此循序渐进练习在整个测试实验室配置中使用的是专用地址。
Win2008 R2 RemoteApp深度体验之四,程序测试
RemoteApp程序测试我们在上篇文章中完成了RemoteApp程序的部署及配置。
目前,RemoteAp p服务器上已经安装并发布了Office2007企业版,而且我们为Office2007创建了相关的RDP文件和MSI安装包。
本文中我们要在客户机上分别使用RDP和MSI 安装包对RemoteApp服务器上发布的应用程序进行测试。
实验拓扑如下图所示,我们准备的客户机操作系统仍然是目前市场占有率的XP,至少在当前,XP系统比Win7更具有代表性。
既然客户机上使用的是经典而古老的操作系统XP SP2,那我们就需要为这种选择付出一些代价。
XP SP2系统中并没有最新的远程桌面连接客户端,我们首先需要在XP SP2上安装最新的远程桌面客户端软件。
从这点来看,XP确实是有些过时了,Win7是不存在这个问题的。
XP可以使用6.1版本的的远程桌面客户端软件,下载地址是/downloads/details.aspx?familyid= 6E1EC93D-BDBD-4983-92F7-479E088570AD&displaylang=zh-cn如图1所示,我们先在XP客户机上下载远程桌面客户端6.1。
图1如图2所示,下载了远程桌面客户端6.1后,我们在客户机上启动安装过程。
图2安装远程桌面客户端的过程很简单,安装完毕后,无需重启就可以生效。
客户机上安装了新版本的远程桌面客户端后,接下来我们就可以在客户机上进行R emoteApp的程序测试了。
一RDP测试首先我们在客户机上测试RemoteApp服务器上的RDP文件。
RDP文件使用起来非常简单,在客户机上直接运行RDP文件,然后完成用户身份验证就可以运行RemoteApp服务器上的应用程序了。
我们先把RemoteApp服务器上的RDP 文件和MSI文件放到一个共享文件夹中,如图4所示,我们在XP客户机上可以看到RemoteApp服务器上共享文件夹中的WINWORD.RDP文件,直接双击运行WINWORD.RDP。
Windows2008R2远程桌面服务(八)远程桌面服务器安全设置
Windows2008R2远程桌⾯服务(⼋)远程桌⾯服务器安全设置1)开始—运⾏,输⼊tsconfig.msc,打开远程桌⾯主机会话配置。
右键RDP-Tcp,属性。
“常规”选项卡,安全性,安全层更改为“SSL (TLS 1.0)”,加密级别设为“⾼”。
(2)开始—运⾏,输⼊“gpedit.msc”,打开本地组策略编辑器。
计算机配置\管理模板\Windows 组件\远程桌⾯服务\远程桌⾯会话主机\远程会话环境从“关机”对话框删除“断开连接”选项●启⽤在“关机”对话框中删除“关机”和重新启动。
以防⽌不熟悉的管理员意外把远程桌⾯服务器关机或重启。
●禁⽤ “关机”对话框⽆改变这个功能⾮常有⽤,特别是公司的域管理员⽐较多时,你负责远程桌⾯服务器的管理,你不想别的管理员因为不⼩⼼把这台服务器关闭时,可以启⽤此选项。
不过这并不影响你使⽤命令来关机和重启。
重启服务器命令:shutdown –r -f –t 0 (强制计算机⽴即重启)关闭服务器命令:shutdown –s -f –t 0 (强制计算机⽴即关机)(3)更改控制⾯板类⽂件的权限●取得c:\windows\system32\*.msc⽂件的所有权为administrats组。
在⽬录c:\windows\system32\*.msc默认的⽂件所有者为TrustedInstaller。
takeown /F c:\windows\system32\*.msc /A注意:运⾏这个命令必须以本地计算机的administrator帐号运⾏才能成功。
如果以域管理员运⾏,即使加⼊了本地管理员组,执⾏命令显⽰成功,也不能取得⽂件所有者。
●删除c:\windows\system32\*.msc⽂件的的所有权限。
我使⽤Xcacls.vbs脚本来删除Users组对c:\windows\system32\*.msc⽂件的所有权限,使⽤⽅法及下载,请看我的博客⽂章:批处理命令:for /R c:\windows\system32 %i in (*.msc) do cscript d:\xcacls.vbs %i /E /R "BUILTIN\users"出现下⾯的错误提⽰:Starting XCACLS.VBS (Version: 5.2) Script at 2009/12/31 13:57:19************************************************* Script not tested on this version of Windows *************************************************This script hasn't been tested on version "6.1" of Windows.Currently, the script has been tested on the following:Win2000, WinXP, Win2003Previous versions of Windows NT can use:"XCACLS.EXE" from the NT 4.0 Resource Kit.For more recent versions, there may be an update to this script.Please contact David Burrell (dburrell@)Note: WMI must be installed for this script to function.If you need to run this script on the current OS,and you verified WMI is installed, do the following:open this script in Notepadsearch for Function IsOSSupported()change this line:Case "5.0", "5.1", "5.2"to:Case "5.0", "5.1", "5.2", "6.1"Save the script.Exiting script now.Operation CompleteElapsed Time: .078125 seconds.Ending Script at 2009/12/31 13:57:19看上⾯的提⽰:我们知道Xcacls.vbs在编写时只有Win2000, WinXP, Win2003,因此对于Win2008不认识,提⽰中指明了修改的⽅法:编辑⽂件Xcacls.vbs,查找Function IsOSSupported(),把这⼀⾏Case "5.0", "5.1", "5.2"更改为Case "5.0", "5.1", "5.2", "6.1"。