Windows Server 2008 R2 远端桌面技术问答TOP 6.doc

Windows Server 2008 R2 遠端桌面技術問答TOP 6顧武雄遠 端桌面服務是在企業IT虛擬化建設中的一項重要解決方案，也是目前全球最多企業IT的共同選擇。想要快速上手並為公司網路部署絕佳的遠端桌面服務存取經 驗，可參考本文所介紹的六大秘訣，包括如何安裝遠端桌面服務、RDS網站如何採用SSL安全通道配置、如何管理遠端桌面服務應用程式、使用者如何存取 RDS網站應用程式、如何在Windows 7桌面開啟遠端應用程式，以及如何以Group Policy大量部署遠端應用程式。企 業IT虛擬化的兩大應用是虛擬機器（Virtual Machine）與遠端桌面服務，兩者的共同效益都是可大幅降低IT的管理成本，因此許多的企業皆已陸續導入這兩種解決方案。Windows Server 2008 R2作業系統內建遠端桌面服務（Remote Desktop Services，RDS），而它的前身便是終端機服務（Terminal Services，TS）。 以遠端桌面服務來說，它直接內建於Windows Server 2008 R2中（用戶端授權須另計），滿足使用者由裡到外連線存取應用程式的需求。此外，在基礎的安全性考量設計方面，除了提供網路層級的驗證（NLA）機制及結 合SSL加密通道的保護外，在進階的安全性整合應用上，還可以整合RSA的動態密碼驗證技術、智慧卡驗證以及網路存取保護（NAP）。 至於虛擬化解決方案，在部署上也相當容易，只要按部就班進行就可以輕鬆完成。以下介紹如何快速完成遠端桌面服務架構中的基礎建置。 TOP 1：如何安裝遠端桌面服務 想要安裝遠端桌面服務，先從系統管理工具選單中開啟伺服器管理員，然後如圖1所示在角色節點頁面內點選新增角色。 圖1 伺服器管理員。接著，在選取伺服器角色頁面內選取遠端桌面服務，然後按下下一步按鈕（圖2）。 圖2 選取伺服器角色。隨後在如圖3所示的選取角色服務頁面內，就會列出遠端桌面服務下所細分的六大功能服務，其用途分別說明如下： 遠端桌面工作階段主機：想要提供RemoteApp與遠端桌面給一般使用者使用，此服務是必要的基礎安裝。 遠端桌面虛擬主機：此服務整合Hyper-V伺服器角色，以便使用者能夠直接透過RemoteApp或桌面的連線來當作個人虛擬桌面或虛擬桌面集區的虛 擬機器，而使用者在從Active Directory中指派的個人虛擬桌面登入後所做的各種自訂功能都會儲存下來，並且能夠在下一次登入個人虛擬桌面時繼續使用。 遠端桌面授權：之前版本稱為終端機服務授權，用以管理每一裝置或每一使用者合法授權的連線（RDS CAL），因此必須有一部主機負責擔任此服務角色。在尚未安裝與設定連線此服務之前，將有120天的使用期限。 遠端桌面連線代理人：之前版本稱之為終端機服務工作階段代理人，主要用途在重新導向以RemoteApp和桌面連線的使用者工作階段，因此它在擁有 多部遠端桌面工作階段主機的架構規劃中，若再搭配網路負載平衡（NLB）機制，這項功能將可有效滿足對於遠端桌面服務的高可用性需求。 遠端桌面閘道：如果想讓遠端使用者可以隨時在有提供遠端桌面連線（RDC）的用戶端裝置上，透過它連線登入到任一授權的內部遠端桌面電腦，必須在 DMZ（建議）網路中建置一部此服務主機。需要注意的是，在標準版的Windows Server 2008 R2中有250個同時連線的限制，而企業版與Datacenter沒有限制。此外，這項服務還可以進一步整合網路存取保護（NAP）的安全機制。 遠端桌面Web存取：若想讓使用者直接從瀏覽器連線存取RemoteApp與登入遠端桌面，那麼這項功能服務將是必要的選擇，選取之後，系統將會自動安裝IIS網站的相關必要元件，並且建立虛擬目錄。 圖3 選取角色服務。在接下來的操作講解中，只需要勾選遠端桌面工作階段主機與遠端桌面Web存取即可。接著，按下下一步按鈕繼續。 如圖4所示，在指定遠端桌面工作階段主機的驗證方法頁面中，決定是否使用更安全的網路層級驗證機制。 圖4 設定驗證方法。基本上，只要用戶端的作業系統是Windows Vista與Windows 7以上的版本都可直接支援，而使用Windows XP的用戶端，必須額外下載與安裝最新版本的遠端桌面連線（RDC）工具，工具下載位址如下所示。 Windows XP遠端桌面連線6.1下載網址：/downloads/details.aspx?familyid=6E1EC93D-BDBD-4983-92F7-479E088570AD&displaylang=zh-tw 接著按下下一步按鈕，繼續後面的設定。 如圖5所示，進入指定授權模式頁面後，如果已經預先準備好授權資訊及完成遠端桌面授權服務主機安裝，便可以在此直接指定所購買的授權類型（依裝置或使用者而定）。如果還在測試階段，則點選稍後再設定選項。按下下一步按鈕繼續。 圖5 指定授權模式。來到選取允許存取此RD工作階段主機伺服器的使用者群組頁面，畫面中預設僅有Administrators群組的使用者可以存取遠端桌面服務。可以按 下新增按鈕加入其他使用者群組，建議預先建立好一個遠端桌面服務專屬的使用者群組以便於後續的管理。按下下一步按鈕繼續。 如圖6所示，在設定用戶端體驗頁面內可以讓連線的使用者工作階段體驗到類似Windows 7的功能，包括音訊與視訊撥放、音訊錄製重新導向及桌面轉譯緩衝處裡。對於這些功能的啟用，系統會自動在此工作階段伺服器上安裝桌面體驗 功能。設定之後，按下下一步按鈕。 圖6 設定用戶端體驗。由於前面的遠端桌面服務項目中已勾選遠端桌面Web存取，因此接下來會如圖7所示切換至網頁伺服器的角色服務設定畫面，在此採用預設值即可，按下下一步按鈕繼續。 圖7 網頁伺服器安裝設定。最後進入確認頁面，確認前面的安裝選項設定皆無誤後按下安裝按鈕。 當整個遠端桌面服務相關的元件都安裝好了之後，會出現必須重新啟動電腦的訊息對話盒，直接按下是按鈕。重新開機並登入後，將自動開啟安裝結果頁面，按下關閉按鈕即可。 成功安裝遠端桌面服務後，在如圖8所示的伺服器管理員介面內將會顯示RemoteApp 管理員、RD Session Host Configuration、遠端桌面服務管理員三個節點頁面。這三個介面程式也可以在系統管理工具下拉選單中的遠端桌面服務內找到。 圖8 遠端桌面服務。若要安裝的遠端桌面服務持續運作，必須讓在遠端桌面服務節點頁面中的三大服務執行狀態始終處於執行中才行。 這三個服務分別是遠端桌面服務的核心Remote Desktop Services，以及影響遠端桌面服務網站存取的IIS Admin Service與World Wide Web Publishing Service。由於前面操作中並沒有安裝與設定遠端桌面的授權組態，因此在開啟遠端桌面工作階段主機設定（RD Session Host Configuration）頁面時，將會如圖9所示出現授權模式與授權主機尚未設定的兩則警告訊息。 圖9 授權診斷。TOP 2：RDS網站如何採用SSL安全通道配置 為了確保從連線登入到登入之後的資料傳遞安全，必須自行配置遠端桌面服務網站的SSL安全機制。在進行接下來的操作之前，必須先確認網域內已經有建置CA憑證授權單位主機，以利申請與安裝伺服器憑證。 先從系統管理工具下拉選單中開啟IIS網站管理員介面，接著如圖10所示在伺服器節點頁面中連續點選伺服器憑證圖示。 圖10 IIS網站管理員。開啟如圖11所示的伺服器憑證頁面後，點選動作窗格內的建立網域憑證連結。 圖11 伺服器憑證管理。請注意！如果CA憑證授權單位主機並非建置在網域環境之下，而是以獨立的伺服器存在，必須改為點選建立憑證要求與完成憑證要求的操作方式來申請與安裝憑證。 接著，如圖12所示在分辨名稱屬性頁面中設定一般名稱資訊，必須輸入將提供給用戶端使用者連線的完整網域名稱（FQDN），這個名稱在網路中也必須被解析到。繼續填寫其他欄位資訊，然後按下下一步按鈕。 圖12 憑證資訊設定。進入如圖13所示在線上憑證授權單位頁面，按下選取按鈕，將網域內的憑證伺服器選取進來，然後輸入一個好記的名稱並按下完成按鈕。 圖13 線上憑證授權單位設定。申請伺服器憑證後，接著將這個憑證指派配置給遠端桌面服務的網站。先選取遠端桌面所屬的網站節點，然後如圖14所示點選動作窗格中的繫結連結。 圖14 遠端桌面服務網站設定。出現如圖15所示的站台繫結頁面，先點選https類型項目，然後按下編輯按鈕。若找不到https，則按下新增按鈕自行加入該類型項目。 圖15 站台繫結。跳出如圖16所示的編輯站台繫結頁面。從SSL憑證下拉選單中選擇前面申請到的憑證項目，然後按下確定按鈕即可。若想要確認該憑證的詳細資訊，則按下檢視按鈕。 圖16 編輯站台繫結。TOP 3：如何管理遠端桌面服務應用程式（RemoteApp） 透過應用程式發佈至遠端桌面服務的系統，使用者不僅可以透過傳統遠端桌面登入的方式進行存取，還可以透過RemoteApp方式來存取，讓使用者存取遠端應用程式時，就好像是在本機上執行一樣地方便。開啟伺服器管理員介面，如圖17所示切換至RemoteApp管理員節點頁面，便可以針對整個遠端桌面服務上的遠端應用程式進行管理。但在此之前，必須先在此主機上安裝好準備發佈的應用程式，然後再回到此管理頁面。 圖17 Remote管理員。如圖18所示，在控制台頁面內開啟在遠端桌面伺服器安裝應用程式功能，這個特殊的安裝模式可確保應用程式在安裝過程中，會建立支援在多使用者環境中執行應用程式所需的正確登錄項目及相關的.ini檔案。 圖18 控制台。如果這些應用程式先前已經安裝好，建議先將它們一一移除，再透過此工具重新安裝，否則後續在多人存取的運作中，可能會出現無法預期的錯誤。 接著，開啟如圖19所示的遠端桌面安裝模式。如果安裝程式是在DVD光碟內，請將其放入光碟機中，然後按下下一步按鈕。 圖19 安裝遠端桌面服務應用程式。隨後進入執行安裝程式頁面，如果安裝程式是在原版DVD內，通常系統會自動偵測並完成載入動作，如果是存放在其他路徑，則按下瀏覽按鈕來載入準備執行的安裝程式。指定好了之後按下下一步按鈕。 以Microsoft Office 2010為例，成功執行安裝程式之後，如果所輸入的產品金鑰並非大量授權的版本，將會出現如圖20所示的錯誤訊息而無法繼續。 圖20 錯誤訊息。相反地，如果成功安裝了指定的應用程式，在如圖21所示的頁面內，完成按鈕將會呈現可點選的狀態。 圖21 完成安裝。安裝好所需應用程式後，再回到RemoteApp管理員節點頁面，點選動作窗格內的新增RemoteApp程式。開啟歡迎使用RemoteApp精靈頁面後，按下下一步按鈕繼續。 在如圖22所示的頁面中勾選想要發佈的應用程式，然後選取任一應用程式項目並按下內容按鈕。 圖22 選擇要加入的應用程式。在RemoteApp內容頁面中，先設定該應用程式的別名，此別名將成為後續封裝程式時的主檔名。接著，決定是否要讓此應用程式圖示出現在遠端桌面服務的網站上供使用者點選。若有需要的話，還可以設定命令的引數以及變更應用程式的圖示（圖23）。 圖23 應用程式內容。在如圖24所示的使用者指派活頁標籤中，還可以進一步設定是否只讓特定的使用者或群組看到此應用程式的圖示。在預設的狀態下，只要是通過連線驗證的使用者都可以看到此應用程式的圖示並執行。 圖24 使用者指派。接著來到檢視設定頁面，可以查看前面針對每個準備發佈的應用程式項目所進行的設定值。確認無誤後，按下完成按鈕即可。完成RemoteApp應用程式發佈之後，在如圖25所示的頁面中就可以看到已發佈的應用程式清單。在此可以隨時針對任一應用程式項目內容進行修改，甚至可以建立成RDP檔案或MSI封裝程式。接下來，介紹使用者如何從網站的連線方式來存取RemoteApp。 圖25 完成應用程式發佈。TOP 4：使用者如何存取RDS網站應用程式 在用戶端的電腦上開啟IE瀏覽器之後，連線至遠端桌面服務的網址（例如/RDWeb），將會開啟如圖26所示的登入頁面。 圖26 登入遠端桌面服務。第一次連線時，由於瀏覽器的安全性問題，可能需要手動點選允許執行遠端桌面網站存取的相關附加元件。成功按下執行按鈕後，輸入使用者的帳戶密碼來完成登入驗證。 圖27所示便是前面步驟中所發佈的遠端桌面應用程式項目，而這裡的項目圖示顯示與否，是根據此登入者的權限設定來決定。可以點選執行任一程式來試試。 圖27 應用程式項目。執行時，將會出現如圖28所示的訊息頁面。可以先決定所要轉向至遠端伺服器的本機資源（如磁碟機），再按下連線按鈕。成功連線後，該應用程式的執行就 像是在本機執行一般，只有當使用者需要儲存檔案時，才會發現儲存的位置，除了有遠端伺服器的磁碟外，還有本機電腦的磁碟出現其中。 圖28 執行應用程式。而如圖29所示的遠端桌面頁面中，則可以讓使用者透過此頁面設定來決定所要連線的遠端桌面主機，包括所要採用的解析度、轉向資源、遠端音訊的撥放、快速鍵的設定以及網路頻寬的設定。 圖29 遠端桌面連線設定。開始連線遠端桌面時，可能會出現如圖30所示的訊息頁面，按下連線按鈕繼續。 圖30 遠端桌面連線。圖31所示是使用者第一次登入該遠端桌面主機時的載入畫面。完成所需的作業操作後，只要在開始功能表中點選【登出】即可；若直接點選關閉視窗，則該使用者的工作階段必須等到系統預設的逾時時間到期時，才會真正結束。 圖31 連線中的遠端桌面。TOP 5：如何在Windows 7桌面開啟遠端應用程式 先在Windows 7中開啟控制台視窗，然後連續點選RemoteApp和桌面連線圖示。接著，在如圖32所示的輸入URL以設定新連線頁面中可以看到一個網址輸入的範例。 圖32 設定RemoteApp網址。只要修改其中完整網域名稱（FQDN）即可，至於後面的路徑，維持不變即可。然後，按下下一步按鈕。成功連線前面所設定好的遠端桌面服務網址後，就會開啟準備好設定連線頁面。按下下一步按鈕，將會開始下載該網站上的遠端桌面應用程式至本機電腦中，而這些下載的連結也會定期與伺服器進行更新。 如圖33所示，在您已順利設定下列連線頁面中能夠得知可用的程式數量。若想要立即開啟這些程式的資料夾，則點選開始使用這個連線連結。 圖33 成功完成連線。圖34所示就是遠端應用程式連結預設的存放的路徑（C:Program FilesRemote App和桌面連線遠端桌面服務預設連線），可以在此立即點選執行任一程式。 圖34 開啟RemoteApp應用程式。至於在如圖35所示的頁面中，則會顯示之前設定好的遠端桌面連資訊，例如最新一次與伺服器更新的日期與時間。 圖35 RemoteApp和桌面連線管理。對使用者來說，往後最方便執行遠端應用程式的方式，將是直接在開始功能表中依序點選【Remote App和桌面連線】【遠端桌面服務預設連線】選項，就可以點選所要執行的遠端應用程式。 圖36所示是一個開啟Microsoft Word 2010遠端應用程式的顯示頁面，待成功連線執行後，使用者在操作上就會像是在執行本機的應用程式。 圖36 連線開啟中的應用程式。後續使用者如果想要移除所下載安裝的遠端應用程式，可再回到控制台中的Remote App和桌面連線頁面，點選移除連結即可完整清除這些程式連結與相關資料夾。 TOP 6：如何以Group Policy大量部署遠端應用程式 首先回到RemoteApp管理員介面，針對準備要進行大量部署的遠端應用程式項目進行單選或多重選取，然後點選動作窗格中的建立Windows Installer.連結。此時將開啟歡迎使用RemoteApp精靈頁面，按下下一步按鈕繼續。 在如圖37所示的指定封裝設定頁面中，先決定封存程式建立時的儲存位置，然後考慮是否設定遠端桌面服務工作階段主機的連線資訊、閘道設定、憑證設定。本例不修改任何預設值，直接按下下一步按鈕。 圖37 指定封裝設定。進入設定發行版本封裝頁面後，設定遠端應用程式圖示置放位置（開始功能表與桌面）以及資料夾名稱。完成設定後按下下一步按鈕。 隨後，檢視設定頁面內會顯示前面所完成的各項設定。如果確認無誤，按下完成按鈕，就會立即產生所有選取的遠端應用程式msi封裝檔案。 圖38所示是筆者在預設的資料夾中所建立的Microsoft Access 2010的遠端應用程式封裝檔案（MSACCESS.msi）。 圖38 成功建立安裝檔。建議將此資料夾設定為共用，如此一來，除了能夠讓使用者端透過網路連線來手動安裝外，後續也可以經由群組原則的軟體派送功能進行大量部署。 點選該資料夾後按一下滑鼠右鍵，然後點選快速選單中的【內容】就會開啟內容視窗。圖39所示是筆者已設定好的共用組態。 接著，在網域控制站主機上的系統管理工具中開啟群組原則管理。如圖40所示，可在所進行管理的組織容器上按下滑鼠右鍵，並點選快速選單中的【在這個網域中建立GPO並連結到.】。 圖40 群組原則管理。然後，如圖41所示在新增GPO頁面中輸入一個唯一識別的名稱並按下確定按鈕。 圖41 新增GPO。完成建立GPO之後，如圖42所示點選該GPO項目，然後