RDS服務(wù)組成角色

對(duì)于RDS來(lái)說(shuō)，其最核心的角色是RD虛擬化主機(jī)和RD會(huì)話主機(jī)。對(duì)于前者來(lái)說(shuō)，主要實(shí)現(xiàn)虛擬桌面服務(wù)，對(duì)于后者來(lái)說(shuō)，主要實(shí)現(xiàn)應(yīng)用程序虛擬化。當(dāng)提供了后臺(tái)核心服務(wù)后，就需要使用RD連接代理來(lái)管理用戶訪問(wèn)進(jìn)程。

例如，當(dāng)多臺(tái)服務(wù)器部署了會(huì)話主機(jī)池，在其中提供了多個(gè)虛擬程序，當(dāng)客戶端訪問(wèn)目標(biāo)虛擬程序時(shí)，會(huì)隨機(jī)連接到某臺(tái)會(huì)話主機(jī)上。

該客戶端因?yàn)槟承┰虍惓Ｖ袛嘣L問(wèn)，再次進(jìn)行連接時(shí)，RD連接代理可以自動(dòng)幫助其恢復(fù)之前失去的連接。

RD Web訪問(wèn)角色為用戶提供了訪問(wèn)接口，RD網(wǎng)關(guān)可將RDS服務(wù)發(fā)布到Internet上，RD授權(quán)負(fù)責(zé)授權(quán)管理。打開(kāi)服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)”→“概述”項(xiàng)，可清晰的看到RDS服務(wù)的組成角色。

執(zhí)行標(biāo)準(zhǔn)部署操作

這里就先以在公網(wǎng)上發(fā)布Remote APP為例進(jìn)行說(shuō)明，在企業(yè)內(nèi)網(wǎng)中存在名為Rserer1的服務(wù)器，作為RD會(huì)話主機(jī)，其IP為192.168.1.10。

Rserver2的服務(wù)器為連接代理，其IP為192.168.1.20。

Rserver3的服務(wù)器作為RD Web主 機(jī)，其IP為192.168.1.30。

“Rdgate”的主機(jī)作為RD網(wǎng)關(guān)服務(wù)器，其IP為192.168.1.31。這些主機(jī)都加入到域環(huán)境，DC的IP為192.168.1.2，在其上安裝了CA角色。

在域中任意主機(jī)（例如“Rserver1”）上打開(kāi)服務(wù)器管理器，在左側(cè)的“所有服務(wù)器”項(xiàng)的右鍵菜單上點(diǎn)擊“添加服務(wù)器”項(xiàng)，在打開(kāi)窗口中的“Active Directory”面板中的“名稱”欄中輸入“rserver”，找到并導(dǎo)入R s e r v e r 2，Rserver3等主機(jī)。同理，將“rdgate”主機(jī)也添加進(jìn)來(lái)。

之后點(diǎn)擊菜單“管理”→“添加角色和功能”項(xiàng)，可以針對(duì)該服務(wù)器組進(jìn)行操作。在向?qū)Ы缑嬷羞x擇“遠(yuǎn)程桌面服務(wù)安裝”項(xiàng)，點(diǎn)擊下一步按鈕，選擇“標(biāo)準(zhǔn)部署”項(xiàng)。再選擇“基于會(huì)話的桌面部署”項(xiàng)，在下一步窗口中按照提示，依次設(shè)置Rserver2主機(jī)作為連接代理服務(wù)器，Rserver3主機(jī)為RD Web訪問(wèn)服務(wù)器，Rserver1主機(jī)為RD會(huì)話主機(jī)。選擇“需要時(shí)自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”項(xiàng)，點(diǎn)擊部署按鈕，執(zhí)行具體的部署操作。

創(chuàng)建和管理RemoteAPP程序

在服務(wù)器管理器左側(cè)選擇“遠(yuǎn)程桌面服務(wù)”→“概述”項(xiàng)，在右側(cè)的點(diǎn)擊“創(chuàng)建會(huì)話集合”項(xiàng)，在向?qū)Ы缑嬷休斎爰系拿Q（例如“APP_Pool”），之后選擇名為Rserver1的會(huì)話主機(jī)，在下一步窗口設(shè)置用戶組，即哪些用戶可以訪問(wèn)該集合，默認(rèn)為所有的域賬戶。再設(shè)置用戶配置文件路徑和容量，點(diǎn)擊創(chuàng)建按鈕創(chuàng)建該集合。

有了集合之后，就可以向其中添加應(yīng)用程序。在左側(cè)選擇“集合”→“APP_Pool”項(xiàng)，在“RemoteApp程序”列表右側(cè)點(diǎn)擊菜單“任務(wù)”→“發(fā)布RemoteApp程序”項(xiàng)，選擇單個(gè)或者多個(gè)目標(biāo)程序，將其發(fā)布出去。

當(dāng)用戶訪問(wèn)“https://rserver3.xxx.com/reweb”網(wǎng)址，因?yàn)闆](méi)有配置證書(shū)，所以會(huì)顯示“此網(wǎng)站的安裝證書(shū)存在問(wèn)題”的警告，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站”項(xiàng)，輸入合適的域賬戶名和密碼，在“RemoteApp和桌面”欄中雙擊目標(biāo)程序，點(diǎn)擊連接按鈕，就可以運(yùn)行該程序。對(duì)于工作組中的客戶端來(lái)說(shuō)，其不受域架構(gòu)信任，當(dāng)其訪問(wèn)RD會(huì)話主機(jī)時(shí)，首先需要在RDWeb主機(jī)上進(jìn)行身份驗(yàn)證，之后還要到RD代理主機(jī)上進(jìn)行身份驗(yàn)證。

使用多域名證書(shū)

為了針對(duì)RD連接代理，實(shí)現(xiàn)SSO單一登錄功能，同時(shí)為了實(shí)現(xiàn)安全訪問(wèn)RDS服務(wù)，就需要使用證書(shū)加以應(yīng)對(duì)。將RD Web，RD代理服務(wù)，RD網(wǎng)關(guān)等主機(jī)的多個(gè)域名綁定到單張證書(shū)上，實(shí)現(xiàn)多域名證書(shū)功能。

圖1 創(chuàng)建多域名證書(shū)

在域中任意主機(jī)（例如Rserver1）上運(yùn)行“gpupdate/force”命令，使其信任CA證書(shū)頒發(fā)機(jī)構(gòu)。運(yùn)行“mmc”程序，在控制臺(tái)中點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在打開(kāi)窗口左側(cè)列表中選擇“證書(shū)”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，將其導(dǎo)入進(jìn)來(lái)。

在控制臺(tái)左側(cè)選擇“證書(shū)”→“高級(jí)操作”→“創(chuàng)建自定義請(qǐng)求”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory注冊(cè)策略”項(xiàng)，點(diǎn)擊下一步按鈕，在自定義請(qǐng)求窗口中的“模版”列表中選擇“Web服務(wù)器”項(xiàng)，在下一步窗口中選擇“Web服務(wù)器”項(xiàng)，在其詳細(xì)信息欄中點(diǎn)擊“屬性”按鈕，在打開(kāi)窗口（如圖1）中的“使用者”面板中的“使用者名稱”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入合適的名稱，例如“app.xxx.com”。

點(diǎn)擊“添加”按鈕，將其添加到列表中。在“類(lèi)型”列表中選擇“DNS”項(xiàng)，在“值”欄中分別輸入并添加以上域名，例如rserver1.xxx.com，rserver3.xxx.com，rdgate.xxx.com等。

在“常規(guī)”面板中輸入有好名稱，在“私鑰”面板中的“密鑰選項(xiàng)”欄中選擇“使私鑰可以導(dǎo)出”和“允許私鑰存檔”項(xiàng)：點(diǎn)擊確定按鈕保存配置。在下一步窗口中點(diǎn)擊瀏覽按鈕，導(dǎo)出后綴為“.req”的請(qǐng)求文件。

點(diǎn)擊完成按鈕，返回控制臺(tái)。使用記事本打開(kāi)上述請(qǐng)求文件，將其內(nèi)容全部復(fù)制出來(lái)，在瀏覽器中訪問(wèn)“https://192.168.1.2/certsrv”，在彈出頁(yè)面中點(diǎn)擊“申請(qǐng)證書(shū)”鏈接。

再點(diǎn)擊“高級(jí)證書(shū)申請(qǐng)”鏈接，在打開(kāi)頁(yè)面中點(diǎn)擊“使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書(shū)，或使用base64編碼的PKCS#7續(xù)訂證書(shū)申請(qǐng)”鏈接，在打開(kāi)頁(yè)面中的“保存的申請(qǐng)”欄中粘貼申請(qǐng)文件內(nèi)容，在“證書(shū)模板”列表中選擇所需的模板，例如Web服務(wù)器。點(diǎn)擊“提交”按鈕，在證書(shū)已頒發(fā)頁(yè)面中點(diǎn)擊“下載證書(shū)”鏈接，將后綴為“.cer”的證書(shū)文件下載到本地。

在控制臺(tái)左側(cè)的“證書(shū)”→“個(gè)人”項(xiàng)的右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)入”項(xiàng)，選擇上述證書(shū)文件，點(diǎn)擊完成按鈕，將證書(shū)導(dǎo)入進(jìn)來(lái)，該步驟其實(shí)就是讓公鑰和私鑰建立關(guān)聯(lián)。

選擇的“證書(shū)”→“個(gè)人”項(xiàng)，在右側(cè)選擇導(dǎo)入的證書(shū)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)出”項(xiàng)，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項(xiàng)，在安全窗口中選擇“密碼”項(xiàng)，輸入密碼后，將其導(dǎo)出為獨(dú)立的PFX文件，例如“zhengshu.pfx”。這樣，就取得了包含多域名的證書(shū)。

在Rserver3等主機(jī)上執(zhí)行“gupdate /force”命令，使其信任根證書(shū)頒發(fā)機(jī)構(gòu)。當(dāng)然，如果從公網(wǎng)CA頒發(fā)機(jī)構(gòu)獲取的證書(shū)，就無(wú)需執(zhí)行該操作。

圖2 為不同的RDS角色配置證書(shū)

在Rserver1上打開(kāi)服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)”→“集合”項(xiàng)，在右上角點(diǎn)擊“任務(wù)”→“編輯部署屬性”項(xiàng)，在部署屬性窗口左側(cè)點(diǎn)擊“證書(shū)”項(xiàng)，在管理證書(shū)窗口（如圖2）中的“角色服務(wù)”列表中選擇“RD Web訪問(wèn)”項(xiàng)。

點(diǎn)擊“選擇現(xiàn)有的證書(shū)”按鈕，在打開(kāi)窗口中點(diǎn)擊瀏覽按鈕，選擇上述“zhengshu.pfx”文件，輸入對(duì)應(yīng)的密碼，選擇“允許向目標(biāo)計(jì)算機(jī)上受信任的根證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)存儲(chǔ)中添加證書(shū)”項(xiàng)，將該證書(shū)導(dǎo)入到本地。點(diǎn)擊確定按鈕保存配置，返回上一級(jí)窗口點(diǎn)擊應(yīng)用按鈕，可以看到RD Web訪問(wèn)的狀態(tài)顯示為“成功”，表示證書(shū)配置完成。

按照同樣的方法，分別選擇“RD連接代理-啟用單一登錄”和“RD連接代理-正在發(fā)布”角色，分別配置證書(shū)。

當(dāng)在客戶端訪問(wèn)“https://rserver3.xxx.com/reweb” 網(wǎng) 址 的話，就會(huì)發(fā)現(xiàn)關(guān)于證書(shū)的警告消失了。對(duì)于工作組客戶端來(lái)說(shuō)，需要訪問(wèn)“http://192.168.1.2/certsrv”網(wǎng)址，依次點(diǎn)擊“下載CA證書(shū)、證書(shū)鏈或CRL”和“下載CA證書(shū)”鏈接，下載后綴為“.cer”的證書(shū)。

在該證書(shū)文件的右鍵菜單上點(diǎn)擊“安裝”項(xiàng)，在向?qū)Ы缑嬷羞x擇“將所有的證書(shū)放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊瀏覽按鈕 沒(méi)選擇“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”項(xiàng)。

點(diǎn)擊下一步按鈕，完成證書(shū)的安裝操作。之后就可以順利訪問(wèn)RD Web服務(wù)器。當(dāng)工作組中的客戶端訪問(wèn)時(shí)，因?yàn)榫哂辛薙SO認(rèn)證功能，可以避免多次身份驗(yàn)證的繁瑣。