--02.使用【远程桌面连接Broker】部署【远程桌面Web访问】循序渐进指南.docx

使用远程桌面连接Boker部署远程桌面Web访问循序渐进指南关于本指南本循序渐进指南将向您介绍在测试环境中使用远程桌面Web连接（RD Web Access）功能设置可访问的RemoteApp源的步骤。在下列操作中，您将创建包含下列内容的测试部署环境：一台远程桌面连接Broker（RD Connection Broker）服务器一台远程桌面Web访问（RD Web Access）服务器本指南将假设您已经完成了安装远程桌面会话主机循序渐进指南的内容，并且您已经部署了下列内容（如果您已经按照安装远程桌面会话主机循序渐进指南的指导完成了配置，则应在新的系统中重新执行相关步骤）：一台RD会话主机服务器一台远程桌面连接客户端计算机一台Active Directory域控制器在完成该指南的步骤后，您将能够：在CONTOSO域中安装必要的服务器。安装并配置RemoteApp源。验证RemoteApp源的功能正常。RemoteApp源的用途是为用户提供可通过RD Web访问功能访问的程序。场景：在测试环境中使用远程桌面连接Broker部署远程桌面Web访问我们建议您首先在测试环境中使用本指南提供的操作步骤。按照本意，并不应该在不参考其他部署文档的情况下，只借助循序渐进指南部署Windows Server功能，并且要将本指南作为唯一参考文档进行使用也必须慎重。当完成本循序渐进指南的内容后，用户帐户即可使用RD Web访问功能借助RemoteApp和桌面连接的方式进行连接。随后即可作为标准用户通过打开RemoteApp的方式测试并验证其功能。本指南描述的测试环境包含五台连接到专用网络的计算机，并分别安装了下列操作系统、应用程序，以及服务。计算机名操作系统应用程序和服务CONTOSO-DCWindows Server 2008 R2Active Directory域服务（AD DS）、DNSRDSH-SRVWindows Server 2008 R2RD会话主机CONTOSO-CLNTWindows 7远程桌面连接RDCB-SRVWindows Server 2008 R2RD连接BrokerRDWA-SRVWindows Server 2008 R2RD Web访问所有计算机都位于一个专用网络中，并通过普通的集线器或二层交换机连接在一起。本循序渐进练习使用了符合测试实验室配置的专用网络，该专用网络的网络ID为/24，其中有一台针对域的，名为CONTOSO-DC的域控制器。下图展示了测试环境的配置情况。第1步：配置RD会话主机服务器要在测试环境的CONTOSO域中创建RemoteApp和桌面连接，需要完成下列任务：配置RD会话主机服务器（RDSH-SRV）。配置客户端计算机（CONTOSO-CLNT）。配置远程桌面连接Broker（RD Connection Broker）服务器（RDCB-SRV）。配置远程桌面Web访问（RD Web Access）服务器（RDWA-SRV）。在设置相应的计算机名、操作系统，以及网络设置时，可参考下表列出的内容，并且要完成本指南列出的步骤，也必须使用下列设置。重要在为计算机配置使用静态Internet协议（IP）地址之前，建议首先对每台可以访问Internet的计算机完成Windows产品激活操作。另外还可通过Windows Update（/fwlink/?LinkID=47370）安装任何可用的关键安全更新。计算机名操作系统需求IP设置DNS设置CONTOSO-DCWindows Server 2008 R2IP地址：子网掩码：默认网关：由DNS服务器角色所配置RDSH-SRVWindows Server 2008 R2IP地址：子网掩码：默认网关：首选：CONTOSO-CLNTWindows 7IP地址：子网掩码：默认网关：首选：RDCB-SRVWindows Server 2008 R2IP地址：子网掩码：默认网关：首选：RDWA-SRVWindows Server 2008 R2IP地址：子网掩码：默认网关：首选：配置RD会话主机服务器（RDSH-SRV）要配置RDSH-SRV服务器，您必须：配置用于对RDP文件进行数字签名的证书。使用组策略管理控制台（GPMC）将对RDP文件进行数字签名的证书的指纹添加到Default Domain Group Policy设置中。首先，使用RemoteApp管理器配置用于对RDP文件进行数字签名所需的证书。该操作会假设您已经将证书导入了计算机帐户的个人证书存储中。要配置对RDP文件进行数字签名所需的证书1. 作为CONTOSOAdministrator登录到“Contoso-DC”。2. 点击“服务器管理器”，然后选择“角色”。3. 点击“添加角色”，然后在“开始之前”页面点击“下一步”。4. 在“选择服务器角色”页面勾选“Active Directory证书服务”，点击“下一步”。5. 在“Active Directory证书服务介绍”页面点击“下一步”。6. 在“选择角色服务”页面勾选“证书颁发机构”和“证书颁发机构Web注册”，再点击“下一步”。7. 在“添加角色向导”页面点击“添加所需的角色服务”。安装结束后，点击“下一步”。8. 在“指定安装类型”页面点击“下一步”。9. 在“指定CA类型”页面，点击 “下一步”。10. 在“设置私钥”页面点击“下一步”。11. 在“为CA配置加密”页面保持默认值，并点击“下一步”。12. 在“配置CA名称”页面，点击“下一步”。13. 在“设置有效期”页面点击“下一步”。14. 在“配置证书数据库”页面点击“下一步”。15. 在“Web服务器（IIS）”页面，点击“下一步”。16. 在“选择角色服务”页面点击“下一步”。17. 在“确认安装选择”页面点击“安装”。18. 安装完毕业，在“安装结果”页面点击“关闭”。19. 点击“服务器管理器”，点击“Web服务器（IIS）”。20. 点击“Internet信息服务”，然后展开CONTOSO-DC。21. 展开“网站”，右击“Default Web Site”，选择“编辑绑定”。22. 在“网站绑定”窗口中点击“添加”。23. 在“类型”下拉选项中选择“https”，在“IP地址”下拉选项中点击。24. 在“SSL证书”下拉选项中选择Contoso-CONTOSO-DC-CA，然后点击“确认”。然后点击“关闭”。25. 然后点击CertSrv选项，点击“SSL设置”。26. 在“SSL设置”中点击“要求SSL”，然后点击“应用”。27. 回到CONTOSO-DC选项，然后双击“服务器证书”。28. 点击右侧面板中的“创建域证书”。29. 在“可分辨名称属性中”输入以下信息，并点击“下一步”。30. 在“联机证书颁发机构”页面，点击“选择”，然后选择contoso-CONTOSO-DC-CA，然后点击“确认”。31. 在“好记名称”处填入Cert，然后点击“完成”。32. 回到“服务器证书”面板，单击刚刚生成的Cert证书，并选择右面的“导出”选项。33. 在“导出证书”选项中点击浏览按钮，指定到桌面，并起名123。34. 在“密码”处填入相应的密码后点击“确认”，完成证书创建。35. 作为CONTOSOAdministrator登录到RDSH-SRV36. 将刚刚生成的证书拷贝到RDSH-SRV桌面上。37.单击“开始”，然后单击“运行”。38.输入mmc，然后单击“确定”。39.在“文件”菜单上单击“添加/删除管理单元”。40.在“可用管理单元”列表中，单击“证书”，然后单击“添加”。41.选择“计算机帐户”选项，单击“下一步”，然后单击“完成”。42.单击“确定”。43.展开“证书（本地计算机）”。44.右键单击“个人”文件夹，指向“所有任务”，然后单击“导入”。45.在“欢迎使用证书导入向导”页面上，单击“下一步”。46.单击“浏览”。47.单击“个人信息交换（*.pfx, *.p12）”以筛选结果视图“所有文件”。48.浏览到桌面，单击123证书，然后单击“打开”。49.单击“下一步”。50.在“密码”框中输入PFX文件的密码，然后单击“下一步”。51.单击“下一步”，然后单击“完成”。配置RD会话主机服务器1. 关闭MMC控制台。2.单击“开始”，指向“管理工具”，指向“远程桌面服务”，然后单击“RemoteApp管理器”。3.在“概述”选项下，单击“数字签名设置”旁的“更改”按钮。4.选择“使用数字证书签名”选项。5.单击“更改”。6.在“确认证书”页面上，选择相应的证书，然后单击“确定”。7 点击“详细信息”，然后再选择“详细信息”选项卡。8 找到“指纹”选项，将其中的值记下来。（注意：每一个环境的指纹都不一样）9.单击“确定”以关闭“RemoteApp部署设置”对话框。最后，还需要将用于对RDP文件进行数字签名的证书的指纹添加到Default Domain Group Policy设置中，这一步是必需的，这样用户每次启动RemoteApp程序时才不会出现受信任的发行者的警告对话框。要将证书指纹添加到Default Domain Group Policy设置1.作为CONTOSOAdministrator登录到CONTOSO-DC。2.打开GPMC。要打开GPMC，请单击“开始”，指向“管理工具”，然后单击“组策略管理”。3.展开“林”：，展开“域”，然后展开。4.右键单击Default Domain Policy，选择“编辑”。5.定位到“计算机配置策略管理模板Windows组件远程桌面服务远程桌面连接客户端”。6.双击“指定表示受信任.rdp发行者的SA1证书指纹”。7.选择“已启用”选项。8.在“以逗号分隔的受信任的SHA1证书指纹“列表框中，输入用于对RDP文件进行签名所需的证书的指纹，然后单击“确定”。配置客户端计算机（CONTOSO-CLNT）要配置客户端计算机CONTOSO-CLNT，您必须：将RDSH-SRV使用的数字证书导入到该计算机帐户的受信任的根证书颁发机构证书存储中。将RDSH-SRV使用的数字证书导入到CONTOSO-CLNT计算机帐户的受信任的根证书颁发机构证书存储中。要将数字证书导入到受信任的根证书颁发机构证书存储中1. 作为CONTOSOAdministrator登录到CONTOSO-CLNT。并将证书123拷贝到桌面。2.单击“开始”，然后单击“运行”。3.输入mmc，然后单击“确定”。4.在“文件”菜单上单击“添加/删除管理单元”。5.在“可用管理单元”列表中，单击“证书”，然后单击“添加”。6.选择“计算机帐户”选项，单击“下一步”，然后单击“完成”。7.单击“确定”。8.展开“证书（本地计算机）”。9.右键单击“受信任的根证书颁发机构”文件夹，指向“所有任务”，然后单击“导入”。10.在“欢迎使用证书导入向导”页面上，单击“下一步”。11.单击“浏览”，找到证书123。12.单击“个人信息交换（*.pfx, *.p12）”以筛选结果视图只显示PFX和P12文件。重要此处必须导入包含私钥的PFX证书文件。13.进入到包含证书的文件夹，单击证书，然后单击“打开”。14.单击“下一步”。15.在“密码”框中输入PFX文件的密码，然后单击“下一步”。16.单击“下一步”，然后单击“完成”。配置RD连接Broker服务器（RDCB-SRV）要配置RDCB-SRV服务器，您必须：安装Windows Server 2008 R2。配置TCP/IP属性。将RDCB-SRV加入域。安装RD连接Broker角色服务。将RDSH-SRV使用的数字证书导入该计算机帐户的个人证书存储中。配置RDP文件数字签名所用的证书。首先，要在独立服务器上安装Windows Server 2008 R2。要安装Windows Server 2008 R21.使用Windows Server 2008 R2产品光盘启动计算机。2.在要求输入计算机名时，输入RDCB-SRV。3.按照屏幕上显示的其他指示完成安装操作。随后需要配置TCP/IP属性，使得RDCB-SRV使用IPv4静态IP地址。另外还需要使CONTOSO-DC的IP地址（）作为DNS服务器。要配置TCP/IP属性1.使用RDCB-SRVAdministrator帐户或其他隶属于本地Administrators组的帐户登录到RDCB-SRV。2.单击“开始”，单击“控制面板”，单击“网络和Internet”，单击“网络和共享中心”，单击“更改适配器设置”，右键单击“本地连接”，然后单击“属性”。3.在“网络”选项卡下，单击“Internet协议版本4（TCP/IPv4）”，然后单击“属性”。4.单击“使用下列IP地址”，在“IP地址”框中输入，在“子网掩码”框中输入，在“默认网关”框中输入。5.单击“使用下列DNS服务器地址”，在“首选DNS服务器”框中输入。6.单击“确定”，然后关闭“本地连接属性”对话框。随后将RDCB-SRV加入域。要将RDCB-SRV加入域1.单击“开始”，右键单击“计算机”，然后单击“属性”。2.在“计算机名称、域和工作组设置”下，单击“更改设置”。3.在“计算机名”选项卡下，单击“更改”。4.在“计算机名/域更改”对话框中，“隶属于”选项下，单击“域”，然后输入。5.单击“其他”，在“此计算机的主DNS后缀”框中输入。6.单击“确定”，然后再次单击“确定”。7.当“计算机名/域更改”对话框要求提供管理员凭据时，请提供CONTOSOAdministrator的凭据，然后单击“确定”。8.当“计算机名/域更改”对话框要求重启动计算机时，单击“确定”，然后单击“关闭”。9.单击“立刻重启”。随后需要使用服务器管理器安装RD连接Broker角色服务。要安装RD连接Broker角色服务1.作为CONTOSOAdministrator登录到RDCB-SRV。2.单击“开始”，指向“管理工具”，然后单击“服务器管理器”。3.在“角色摘要”选项下，单击“添加角色”。4.在“开始之前”页面上，单击“下一步”。5.在“选择服务器角色”页面上，选择“远程桌面服务”选项，然后单击“下一步”。6.在“远程桌面服务”页面上，单击“下一步”。7.在“选择角色服务”页面上，选中“远程桌面连接代理”选项，然后单击“下一步”。8.在“确认安装选择”页面上，单击“安装”。9.在安装完成后，单击“关闭”。随后需要将RDSH-SRV使用的数字证书123拷贝到RDCB-SRV的桌面，导入到RDCB-SRV计算机帐户的个人证书存储中。要将数字证书导入到个人证书存储1.作为CONTOSOAdministrator登录到RDCB-SRV。2.单击“开始”，然后单击“运行”。3.输入mmc，然后单击“确定”。4.单击“文件”，然后单击“添加/删除管理单元”。5.在“可用管理单元列表”中，单击“证书”，然后单击“添加”。6.选择“计算机帐户”选项，单击“下一步”，然后单击“完成”。7.单击“确定”。8.展开“证书（本地计算机）”。9.右键单击“个人”，指向“所有任务”，然后单击“导入”。10.在“欢迎使用证书导入向导”页面上，单击“下一步”。11.单击“浏览”，找到桌面的证书123。12.单击“个人信息交换（*.pfx, *.p12）”以筛选结果视图只显示PFX和P12文件。重要此处必须导入包含私钥的PFX证书文件。13.进入到包含证书的文件夹，单击证书，然后单击“打开”。14.单击“下一步”。15.在“密码”框中输入PFX文件的密码，然后单击“下一步”。16.单击“下一步”，然后单击“完成”。最后，还需要配置对RDP文件进行数字签名时使用的数字证书。要配置对RDP文件进行签名时使用的证书1.单击“开始”，指向“管理工具”，指向“远程桌面服务”，然后单击“远程桌面连接管理器”。2.在“虚拟桌面：资源和配置”选项下，单击“数字证书”选项旁的“指定”。3.在“数字签名”选项卡下，选择“使用数字证书签名”选项。4.单击“选择”。5.在“确认证书”对话框中，单击要用于对RDP文件进行签名的证书，然后单击“确定”。配置RD Web访问服务器（RDWA-SRV）要使用Windows Server 2008 R2配置RD Web访问服务器，您必须：安装Windows Server 2008 R2。配置TCP/IP属性。将RDWA-SRV加入域。安装RD Web访问角色服务。使用GPMC 将RD Web访问服务器所用证书的指纹添加到Default Domain Group Policy设置。首先，要在独立服务器上安装Windows Server 2008 R2。要安装Windows Server 2008 R21.使用Windows Server 2008 R2产品光盘启动计算机。2.在要求输入计算机名时，输入RDWA-SRV。3.按照屏幕上显示的其他指示完成安装操作。随后需要配置TCP/IP属性，使得RDWA-SRV使用IPv4静态IP地址：。要配置TCP/IP属性1.使用RDWA-SRVAdministrator帐户登录到RDWA-SRV。2.单击“开始”，单击“控制面板”，单击“网络和Internet”，单击“网络和共享中心”，单击“更改适配器设置”，右键单击“本地连接”，然后单击“属性”。3.在“网络”选项卡下，单击“Internet协议版本4（TCP/IPv4）”，然后单击“属性”。4.单击“使用下列IP地址”，在“IP地址”框中输入，在“子网掩码”框中输入，在“默认网关”框中输入。5.单击“使用下列DNS服务器地址”，在“首选DNS服务器”框中输入。6.单击“确定”，然后关闭“本地连接属性”对话框。随后将RDWA-SRV加入域。要将RDWA-SRV加入域1.单击“开始”，右键单击“计算机”，然后单击“属性”。2.在“算机名称、域和工作组设置”下，单击“更改设置”。3.在“计算机名”选项卡下，单击“更改”。4.在“计算机名/域更改”对话框中，“隶属于”选项下，单击“域”，然后输入。5.单击“其他”，在“此计算机的主DNS后缀”框中输入。6.单击“确定”，然后再次单击“确定”。7.当“计算机名/域更改”对话框要求提供管理员凭据时，请提供CONTOSOAdministrator的凭据，然后单击“确定”。8.当“计算机名/域更改”对话框显示欢迎加入域的信息后，单击“确定”。9.当“计算机名/域更改”对话框要求重启动计算机时，单击“确定”，然后单击“关闭”。10.单击“立刻重启动”。随后需要使用服务器管理器安装RD Web访问角色服务。要安装RD Web访问角色服务1.作为CONTOSOAdministrator登录到RDWA-SRV。2.单击“开始”，指向“管理工具”，然后单击“服务器管理器”。3.在“角色摘要”选项下，单击“添加角色”。4.在“开始之前”页面上，单击“下一步”。5.在“选择服务器角色”页面上，选择“远程桌面服务”选项，然后单击“下一步”。6.在“远程桌面服务”页面上，单击“下一步”。7.在“选择角色服务”页面上，选中“远程桌面Web访问”选项。8.查看有关添加Web服务器（IIS）和远程服务器管理工具的相关信息，然后单击“添加必需的角色服务”，并单击“下一步”。9.在“Web服务器（IIS）”页面上，单击“下一步”。10.在“选择角色服务”页面上，单击“下一步”。11.在“确认安装选择”页面上，单击“安装”。12.在安装完成后，单击“关闭”。 第2步：安装并配置RemoteApp在本步骤中，您将配置RemoteApp和桌面连接，这样CONTOSO域的用户就可以使用远程桌面Web访问（RD Web Access）功能获得访问。要配置RemoteApp和桌面连接，请执行下列操作：将RDCB-SRV计算机帐户对象添加到RDSH-SRV的TS Web Access Computers安全组。使用RemoteApp管理器添加RemoteApp程序。将RDWA-SRV计算机帐户添加到RDCB-SRV的TS Web Access Computers安全组。在RD Web访问服务器（RDWA-SRV）上分配RemoteApp源。在RDCB-SRV计算机上使用远程桌面连接管理器添加RemoteApp源。首先要将RDCB-SRV计算机帐户对象添加到RDSH-SRV的TS Web Access Computers安全组。要将RDCB-SRV添加到RDSH-SRV的TS Web Access Computers组1.作为CONTOSOAdministrator登录到RDSH-SRV。2.单击“开始”，指向“管理工具”，然后单击“计算机管理”。3.展开“本地用户和组”，然后单击“组”。4.右键单击TS Web Access Computers，然后选择“添加到组”。5.单击“添加”。6.在“选择用户、计算机、服务帐户，或组”对话框中，单击“对象类型”。7.在“对象类型”对话框中，选中“计算机”选项，然后单击“确定”。8.在“输入对象名称以选择”框中，输入rdcb-srv，然后单击“确定”。9.单击“确定”以关闭TS Web Access Computers对话框。随后，需要使用RemoteApp管理器将RemoteApp程序添加到RDSH-SRV。要使用RemoteApp管理器添加RemoteApp程序1.作为CONTOSOAdministrator登录到RDSH-SRV。2.单击“开始”，指向“管理工具”，指向“远程桌面服务”，然后单击RemoteApp“管理器”。3.在“操作”窗格中单击“添加RemoteApp程序”。4.在“欢迎使用RemoteApp向导”页面上，单击“下一步”。5.在“选择要添加到RemoteApp程序列表的程序”页面上，选择“计算器”，并单击“下一步”。6.在“复查设置”页面上，单击完“成”。随后，需要将RDWA-SRV计算机帐户对象添加到RDCB-SRV计算机的TS Web Access Computers安全组。要将RDWA-SRV添加到RDCB-SRV的TS Web Access Computers组1.作为CONTOSOAdministrator登录到RDCB-SRV。2.单击“开始”，指向“管理工具”，然后单击“计算机管理”。3.展开“本地用户和组”，然后单击“组”。4.右键单击TS Web Access Computers，然后选择“添加到组”。5.单击“添加”。6.在“选择用户、计算机、服务帐户，或组”对话框中，单击“对象类型”。7.在“对象类型”对话框中，选中“计算机”选项，然后单击“确定”。8.在“输入对象名称以选择”框中，输入rdwa-srv，然后单击“确定”。9.单击“确定”以关闭TS Web Access Computers对话框。随后，需要在RD Web访问服务器（RDWA-SRV）上分配RemoteApp源。要在RDWA-SRV上分配RemoteApp源1.作为CONTOSOAdministrator登录到RDWA-SRV。2.单击“开始”，指向“管理工具”，指向“