讓RemoteAPP自動(dòng)關(guān)聯(lián)本地文件

為了在客戶端上實(shí)現(xiàn)“.rdp”文件和本地特定類(lèi)型的關(guān)聯(lián)問(wèn)題，可以在遠(yuǎn)程桌面服務(wù)器上打開(kāi)RemoteApp管理器，在列表中找到發(fā)布的程序（例如Word等），在右鍵菜單上點(diǎn)擊“創(chuàng)建Windows Install程序包”項(xiàng)，在向?qū)Ы缑嬷幸来吸c(diǎn)擊“下一步”，在配置分發(fā)程序包窗口（如圖1）中選擇“將此程序的客戶端擴(kuò)展與RemoteApp程序項(xiàng)關(guān)聯(lián)”項(xiàng)，點(diǎn)擊“完成”。之后，將生成的WINWORD安裝包復(fù)制到客戶端，在客戶端以域管理員身份安裝該包。這樣，在客戶端雙擊與之關(guān)聯(lián)的程序，就可以打開(kāi)該遠(yuǎn)程程序操作了。

圖1 配置分發(fā)程序包參數(shù)

讓用戶擁有不同的RemoteAPP

在遠(yuǎn)程桌面服務(wù)器上打開(kāi)RemoteAPP管理器，在列表中選擇某個(gè)程序（例如財(cái)務(wù)軟件），在其屬性窗口中的“用戶分配”面板（如圖2）中選擇“指定域用戶和域組”項(xiàng)，點(diǎn)擊“添加”，導(dǎo)入目標(biāo)賬戶（例如財(cái)務(wù)管理員等）。

這樣，只有指定的賬戶才可以使用該程序。但是，當(dāng)用戶登錄到RDWeb訪問(wèn)頁(yè)面后，可以點(diǎn)擊“遠(yuǎn)程桌面”鏈接，輸入遠(yuǎn)程桌面服務(wù)器名稱(chēng)，通過(guò)遠(yuǎn)程登錄的方法，來(lái)避開(kāi)上述限制隨意操作目標(biāo)程序。為此，可以在遠(yuǎn)程桌面服務(wù)器上打開(kāi)IIS管理器，打開(kāi)“網(wǎng) 站 →Default Web Site→RDWeb→Pages”項(xiàng)，在右側(cè)雙擊“應(yīng)用程序設(shè)置”項(xiàng)，在“ShowDesktops”欄中將其值修改為“False”，就可以隱藏“遠(yuǎn)程桌面”鏈接。

身份驗(yàn)證提高訪問(wèn)安全性

在服務(wù)器上執(zhí)行“mmc”命令，在控制臺(tái)中點(diǎn)擊“文件→添加/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)列表中選擇“證書(shū)”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，點(diǎn)擊“完成”，將其添加進(jìn)來(lái)。在控制臺(tái)左側(cè)選擇“證書(shū)→個(gè)人”，在右鍵菜單上點(diǎn)擊“所有任務(wù)→申請(qǐng)新證書(shū)”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory注冊(cè)策略”項(xiàng)，點(diǎn)擊“下一步”，選擇“計(jì)算機(jī)”項(xiàng)，點(diǎn)擊注冊(cè)按鈕，完成證書(shū)申請(qǐng)操作。

圖2 為發(fā)布的程序分配賬戶

圖3 為遠(yuǎn)程桌面服務(wù)綁定證書(shū)

我們也可以向Internet上的第三方證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)證書(shū)。打開(kāi)遠(yuǎn)程桌面會(huì)話主機(jī)配置程序，在“RDPTCP”連接項(xiàng)的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“常規(guī)”面板（如圖3）中的“安全層”列表中選擇“SSL（TSL1.0）”項(xiàng)，點(diǎn)擊“選擇”按鈕，在列表中選擇上述申請(qǐng)的證書(shū)。點(diǎn)擊“應(yīng)用”。當(dāng)客戶端登錄遠(yuǎn)程桌面后，在屏幕頂部的工具欄上點(diǎn)擊鎖型按鈕，在彈出窗口中顯示“使用服務(wù)器證書(shū)和Kerberos已驗(yàn)證遠(yuǎn)程計(jì)算機(jī)的身份”。點(diǎn)擊“查看證書(shū)”按鈕，顯示證書(shū)的詳細(xì)信息。

在上述窗口中的“環(huán)境”面板，選擇“用戶登錄時(shí)啟用些列程序”項(xiàng)，在“程序路徑和文件名”欄中輸入“c:windowssystem32logoff.exe”，在“起始于”欄中輸入“c:windowssystem32”。這樣，當(dāng)用戶試圖登錄遠(yuǎn)程桌面時(shí)，就會(huì)被直接注銷(xiāo)。如果希望對(duì)會(huì)話時(shí)間進(jìn)行控制的話，可以在“會(huì)話”面板中選擇“改寫(xiě)用戶設(shè)置”項(xiàng)，設(shè)置當(dāng)客戶端斷開(kāi)會(huì)話后，結(jié)束該會(huì)話的時(shí)間。在“活動(dòng)會(huì)話限制”欄中設(shè)置客戶端可以使用RemoteAPP以及遠(yuǎn)程桌面的時(shí)間值。在“空閑會(huì)話限制”欄中設(shè)置當(dāng)超過(guò)多長(zhǎng)時(shí)間的空閑狀態(tài)后，自動(dòng)關(guān)閉會(huì)話。選擇“改寫(xiě)用戶設(shè)置”和“結(jié)束會(huì)話”項(xiàng)，當(dāng)滿足以上條件后，自動(dòng)結(jié)束會(huì)話。

單點(diǎn)登錄遠(yuǎn)程桌面和RDWeb

在域控上打開(kāi)組策略管理器，在左側(cè)選擇域名，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處連接”項(xiàng)，輸入GPO名稱(chēng)，選擇該GPO，進(jìn)入其編輯界面，選擇“計(jì)算機(jī)配置→管理模版→系統(tǒng)→憑據(jù)分配”分支，雙擊“允許分配默認(rèn)憑據(jù)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“將服務(wù)器添加到列表”欄中點(diǎn)擊“顯示”按鈕，在顯示內(nèi)容窗口中輸入“termsrv/xxx.com”，其中的“xxx.com”表示遠(yuǎn)程桌面服務(wù)器的DNS名稱(chēng)。點(diǎn)擊“確定”，保存配置信息。

在客戶端執(zhí)行“gpupdate/force”命令，來(lái)刷新組策略。執(zhí)行“gpresult /r”命令，來(lái)查看策略的應(yīng)用情況。當(dāng)確認(rèn)應(yīng)用了上述策略后，登錄遠(yuǎn)程桌面時(shí)，就無(wú)法再次提交憑據(jù)了。對(duì)應(yīng)的，也可以使用單點(diǎn)登錄功能，來(lái)快捷的登錄RDWeb站點(diǎn)。這就需要對(duì)RDP文件進(jìn)行簽名，之后使用RDWeb的方式，將其分發(fā)到客戶端。這樣，如果黑客對(duì)RDP文件中的服務(wù)器地址進(jìn)行了修改，系統(tǒng)就會(huì)禁止用戶進(jìn)行登錄。在服務(wù)器上打開(kāi)RemoteAPP管理器。在“數(shù)字簽名設(shè)置”欄中點(diǎn)擊“更改”鏈接，在“數(shù)字簽名”面板（如圖4）中選擇“使用數(shù)字證書(shū)簽名”項(xiàng)，點(diǎn)擊更改按鈕，選擇所需的證書(shū)。

圖4 配置數(shù)字簽名信息

在“RemoteApp程序”列表中刪除所有已經(jīng)發(fā)布的程序，點(diǎn)擊“添加RemoteApp”鏈接，在向?qū)Ы缑嬷兄匦逻x擇需要發(fā)布的程序。這樣，就可以對(duì)這些RemoteApp進(jìn)行數(shù)字簽名處理。在客戶端輸入對(duì)應(yīng)的域賬戶和密碼，登錄到RDWeb頁(yè)面。點(diǎn)擊對(duì)應(yīng)的RemoteAPP程序，在彈出窗口會(huì)顯示的發(fā)布者信息，點(diǎn)擊“連接”，無(wú)需再次輸入密碼，就可以直接運(yùn)行該程序。

快速部署RemoteApp程序

使用常規(guī)的部署方式，無(wú)法適應(yīng)大規(guī)模部署RemoteAPP的場(chǎng)景，在遠(yuǎn)程連接代理服務(wù)器上打開(kāi)遠(yuǎn)程桌面連接管理器，在右側(cè)點(diǎn)擊“創(chuàng)建配置文件”鏈接，在“RAD連接源URL”欄中輸入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”，點(diǎn)擊保存按鈕，將其保存為獨(dú)立的文件，放置到共享目錄中。在客戶端將該文件復(fù)制過(guò)來(lái)，雙擊該文件，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，就可以創(chuàng)建RemoteAPP桌面連接。

使用連接代理保證會(huì)話連貫性

在一個(gè)負(fù)載均衡的環(huán)境中，所有的用戶登錄到服務(wù)器之后，都會(huì)產(chǎn)生包含用戶名，打開(kāi)的程序，用戶IP等會(huì)話信息。用戶再次登錄時(shí)，主機(jī)會(huì)首先連接代理服務(wù)器，檢測(cè)是否已存在會(huì)話信息。如果有的話，用戶就會(huì)重定向到對(duì)應(yīng)的服務(wù)器上的相應(yīng)會(huì)話中。

在遠(yuǎn)程連接代理服務(wù)器運(yùn)行“l(fā)usrmgr.msc”程序，在賬戶管理程序左側(cè)選擇“組”項(xiàng)，在右側(cè)雙擊“Session Broker Computers”組，在屬性窗口中點(diǎn)擊“添加→對(duì)象類(lèi)型→計(jì)算機(jī)”。之后將群集中的所有遠(yuǎn)程桌面會(huì)話主機(jī)添加進(jìn)來(lái)。在遠(yuǎn)程桌面會(huì)話主機(jī)上打開(kāi)遠(yuǎn)程桌面會(huì)話主機(jī)配置程序，在窗口中部雙擊“RD連接代理中的場(chǎng)的成員”項(xiàng)，在打開(kāi)窗口中點(diǎn)擊“更改設(shè)置”按鈕，在設(shè)置窗口（如圖5）中選擇“場(chǎng)成員”項(xiàng)，輸入遠(yuǎn)程連接代理服務(wù)器名稱(chēng)和場(chǎng)名稱(chēng)。

這樣，就可以將當(dāng)前主機(jī)的會(huì)話連接信息提交到會(huì)話目錄中。在“RD連接代理”面板中選擇“參與連接代理負(fù)載平衡”項(xiàng)，為當(dāng)前主機(jī)設(shè)置相互權(quán)重值。對(duì)于場(chǎng)中配置較高的服務(wù)器，可以設(shè)置較高的權(quán)重值，使其可以響應(yīng)更多的用戶請(qǐng)求。點(diǎn)擊應(yīng)用按鈕，保存配置信息。如果連接代理服務(wù)運(yùn)行異常的話，可以運(yùn)行“services.msc”程 序，重 啟“Remote Desktop Connection Broker”服務(wù)，就可以有效解決問(wèn)題。

快速發(fā)布虛擬機(jī)遠(yuǎn)程桌面

使用常規(guī)方法，只能允許用戶訪問(wèn)將物理主機(jī)的遠(yuǎn)程桌面。利用VDI功能，可以將虛擬機(jī)的桌面發(fā)布給用戶使用。在某臺(tái)服務(wù)器（其DNS名 為“xxx.xnsrv.com”）上打開(kāi)服務(wù)管理器，啟動(dòng)添加角色向?qū)?，在遠(yuǎn)程桌面服務(wù)列表中選擇“遠(yuǎn)程桌面虛擬化主機(jī)”項(xiàng)，來(lái)安裝組件（事先需要安裝好Hyper-V角色）。打開(kāi)Hyper-V管理器，創(chuàng)建所需的虛擬機(jī)。例如創(chuàng)建一臺(tái)Windows 7虛擬機(jī)，將該虛擬機(jī)的名稱(chēng)修改為“VD01.xxx.com”，其中的“xxx.com”為域名。打開(kāi)該虛擬機(jī)，將其添加到域環(huán)境中。

圖5 配置RD連接代理信息

在控制面板中打開(kāi)“允許程序通過(guò)Windows防火墻”項(xiàng)，選擇“遠(yuǎn)程桌面”和“遠(yuǎn)程服務(wù)管理”項(xiàng)，使其可以穿越防火墻和外界通訊。打開(kāi)PowerShell窗口，執(zhí)行“Set-ExecutionPolicy remotesigned -force”和“Configure-VirtualMachine.ps l-RDVHost xxxxnsrv-RDUsers xxxuser01”命令，其中的“xxxxnsrv”為上述虛擬化主機(jī)的在域中的名稱(chēng)，“xxxuser01”為域中的賬戶名，表示該虛擬機(jī)將分配給名為“user01”用戶使用。打開(kāi)搜索引擎，搜索“Configure Guest OS for Microsoft VDI”內(nèi) 容，可以查看和下載“Configure-VirtualMachine.psl”腳本文件的內(nèi)容。

配置好虛擬機(jī)后，登錄到遠(yuǎn)程桌面連接代理服務(wù)器上。打開(kāi)遠(yuǎn)程桌面連接管理器，在右側(cè)點(diǎn)擊“配置虛擬機(jī)”鏈接，在向?qū)Ы缑嬷悬c(diǎn)擊下一步，在“服務(wù)器名稱(chēng)”欄中輸入遠(yuǎn)程桌面虛擬化主機(jī)名稱(chēng)，例如“xxx.xnsrv.com”。點(diǎn)擊“添加”按鈕，將其添加到列表中。在下一步窗口中的“服務(wù)器名稱(chēng)”欄中輸入遠(yuǎn)程桌面會(huì)話主機(jī)名稱(chēng)，點(diǎn)擊下一步按鈕，輸入RD Web代理服務(wù)器名稱(chēng)，其余設(shè)置保持默認(rèn)。點(diǎn)擊完成按鈕，打開(kāi)分配個(gè)人虛擬機(jī)向?qū)Ы缑妫c(diǎn)擊“選擇用戶”按鈕，選擇與虛擬機(jī)綁定的用戶（例如“xxxuser01”）。在“虛擬機(jī)”列表中選擇上述虛擬機(jī)名稱(chēng)，例如“VD01.xxx.com”。這樣，當(dāng)“user01”用戶在客戶端上登錄RDWeb站點(diǎn)，就會(huì)顯示“我的桌面”圖標(biāo)。點(diǎn)擊該圖標(biāo)，就會(huì)登錄為其指定的虛擬機(jī)上（該虛擬機(jī)必須事先處于關(guān)機(jī)狀態(tài)）。