4110人阅读
windows server 2012 配置（20）
03-Windows Server 2012 R2 会话远程桌面-标准部署(RemoteApp)
作者：马博峰
在之前的文章中，我们以快速的部署方式完成了RemoteApp的部署，如果在企业正式环境中需要部署基于会话的远程桌面，那么最好采用标准部署，标准部署是将RD 授权、RD 连接代理、RD 网关和 RD Web 访问分别部署到不同的服务器，各服务器有不同的用途，服务器之间进行协作，构成一个完整的应用平台。同时，为了保证安全性，同样的角色也会同时部署多个，一个方面是为了以防出现单点故障，另一个方面是为了均衡负载，增强RemoteApp的可用性。
采用标准部署，需要进行前期的准备和规划，由于标准部署所需的角色颇多，需要大量的服务器或者虚拟机，将RemoteApp服务器群组放入以数据中心的部署模式，可大大方便部署和管理，在正式部署之前，在企业环境中，需要域控制器和证书管理服务器（CA）。在标准的部署中，包括后面需要部署的VDI，其总共部署的角色有：
远程桌面连接代理：Remote Desktop Connection Broker
远程桌面会话主机：Remote Desktop Session Host
客户端计算机：Remote Desktop client computer
远程桌面Web访问：Remote Desktop Web Access
桌面虚拟化主机：Remote Desktop virtualization Host
远程桌面网关：Remote Desktop Gateway
远程桌面授权： Remote Desktop Licensing
外网用户通过远程桌面网关访问自己的RemoteApp，内网用户可以通过使用IE浏览器访问远程桌面WEB服务器或者是通过客户端访问远程桌面连接代理，通过远程桌面连接代理连接到桌面会话主机或者桌面虚拟化主机，访问到自己的应用程序或者个人桌面。
服务器名称
Windows Server 2012 R2
192.168.1.100
Windows Server 2012 R2
192.168.1.201
远程桌面连接代理
Windows Server 2012 R2
192.168.1.150
远程桌面Web访问
Windows Server 2012 R2
192.168.1.170
远程桌面会话主机
Windows 8.1
192.168.1.99
客户端计算机
在部署环境中，除了域控服务器外，建立了3台服务器，分别为RD-CB远程桌面连接代理、RD-WA远程桌面Web访问和RD-SH远程桌面会话主机。首先，将这3台服务器都加入域，以域管理员的身份进行登录到其中的一台计算机。为了方便管理多台计算机，在Windows server 2012 R2服务器管理器中，选择点击3添加要管理的其他服务器，
在添加服务器页面中，选择Active Directory，在位置一栏中，选择域，点击查找，此时会显示在域中的所有计算机，然后点击按钮，将计算机加入到右边，最后点击确定。
接下来进行安装和部署RDS角色，在添加角色和功能向导中，在开始之前页面中，点击下一步。
在‘选择安装类型’页面，勾选‘远程桌面服务安装’，单击‘下一步’。
在“选择部署类型”中，选择部署的类型，“标准部署”是指可以跨越多个服务器上部署远程桌面服务器。“快速部署”是通过快速启动，可以在一个服务器上部署远程桌面服务。这里选择“标准部署”。
无论是选择“快速部署”还是“标准部署”，都分为“基于虚拟机的桌面部署”和“基于会话的桌面部署”方案，其最大的区别是是否部署Hyper-V角色，“基于虚拟机的桌面部署”是基于Hyper-V角色部署，也称为VDI虚拟桌面，而“基于会话的桌面部署”主要是以RemoteApp功能为主发布虚拟应用。
在角色服务器页面中，可以看到将为此部署安装和配置一下远程桌面服务角色，包括远程桌面连接代理、远程桌面Web访问和远程桌面会话主机，点击下一步。
在“指定RD连接代理服务器”页面中，从服务器池中选择一台服务器用于RD连接代理服务，将其选择到右边，然后点击下一步。
在“指定RD Web访问服务器”页面中，从服务器池中选择一台服务器用于RD Web访问服务，将其选择到右边，然后点击下一步。
在“指定RD 会话主机服务器”页面中，从服务器池中选择一台服务器用于RD 会话主机服务，将其选择到右边，然后点击下一步。
在“确认选择”页面中，完成安装，必须勾选需要是自动重新启动目标服务器，因为RD会话主机在部署过程中需要重启，最后点击部署。
成功部署完成后，就可以设置RemoteApp，设置发布应用程序与快速部署相同，只是标准部署不会默认发布任何RemoteApp。这里的标准部署只是简单的搭建个基础架构，在后面的博客中，我讲详细的介绍每个组件的部署情况，尽量涉及到每一个高级的选项，请大家继续关注我的博客，谢谢。
本文出自 “” 博客，请务必保留此出处
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：192568次
积分：1799
积分：1799
排名：千里之外
转载：116篇
(1)(27)(4)(2)(35)(4)(44)
(window.slotbydup = window.slotbydup || []).push({
id: '4740881',
container: s,
size: '200,200',
display: 'inlay-fix'Windows Server 2012 R2会话远程桌面 标准部署RD网关(RemoteApp) (六) - 服务器技术 - 次元立方网 - 电脑知识与技术互动交流平台
Windows Server 2012 R2会话远程桌面 标准部署RD网关(RemoteApp) (六)
一、什么是RD网关
远程桌面网关（RD 网关），在早期版本的远程桌面连接中称为TS网关，在Windows server 2012 R2中成为Remote Desktop Gateway Server，RD网关使授权的远程用户能够从任何联网设备连接到内部企业网络上的资源。RD 网关使用远程桌面协议 (RDP)和 HTTPS 协议帮助创建一个更安全的加密连接，简单来说，如果企业内部网络有多个远程桌面（终端服务器）要发布到Internet，在通常的情况下，是需要将这些远程桌面服务器通过防火墙发布到Internet（使用不同的端口），Internet上的用户使用不同的端口连接到不同的内网服务器。而在Windows Server 2012 R2中，通过配置RD网关，可以让Internet使用&远程桌面连接&程序，通过RD网关服务器直接连接到内网的多个远程桌面计算机。
在早期版本的远程桌面连接中，用户无法通过防火墙和网络地址转换器连接到远程计算机，这是因为通常会阻止用于远程桌面连接的端口 3389 以增强网络安全性。但是，RD 网关服务器使用端口 443，此端口可通过安全套接字层 (SSL) 隧道传输数据。
RD 网关服务器具有以下优点：
1、支持从 Internet 到公司网络的远程桌面连接，无须设置虚拟专用网络 (VPN) 连接。
2、支持跨越防火墙连接到远程计算机。
3、允许与计算机上运行的其他程序共享网络连接。这样，您就可以使用 ISP 连接而非公司网络来通过远程连接方式发送和接收数据。
4、通过远程桌面网关管理器可以配置授权策略，以定义远程用户要连接到内部网络资源必须满足的条件。例如，可以指定：
（1）可以连接到内部网络资源的用户（即，可以连接的用户组）。
（2）用户可以连接到的网络资源（计算机组）。
（3）客户端计算机是否必须是 Active Directory 安全组的成员。
（4）是否允许设备的重定向。
（5）客户端需要使用智能卡身份验证还是密码身份验证，还是可以使用任一方法。
5、可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性（客户端操作系统必须是XP，Vista，Windows 7，Windows 8）
6、可以利用RD 网关服务器部署内外网隔离方案。
二、RD网关部署
RD网关服务器通常都有2个不同的物理网卡对应着2个不同的IP地址，一个是内网的IP地址，另一个则是外网或者是公网的IP地址，其主要功能就是用户进行访问的地址的转换，从而安全的从企业外部网络访问到内网中。如果能巧妙的利用RD网关这个角色，就可以实现很多种功能，比如一公司内部的办公环境，员工的桌面是不能上网的，完全是一个闭塞的工作环境。但是部分领导要求自己的桌面上网，或者是某些应用程序能上网，但是又不能影响内部的环境。这种情况下，可以将RD网关部署在内网环境，而用户访问的的桌面或者应用程序服务器（RDSH和RDHV）就可以部署在能上网的环境，这样用户通过内网访问RD网关就可以安全的访问自己的应用和桌面程序。完全可以做到用户在内网环境中，用户的QQ程序和邮箱程序可以上网，其它的程序则无法上网，完全做到了内外网的隔离。
但是大部分的企业是将RD网关部署在企业中DMZ区，通过防火墙让不在公司内部的办公人员进行远程访问，从而取代了VPN服务器，RD网关服务器可以是一台物理服务器，也可以是一台虚拟机，但是要确保RD网关能同时访问内网和外网。
在此次配置中，使用的服务器情况如下： &
服务器名称
Windows Server 2012 R2
192.168.1.100
Windows Server 2012 R2
192.168.1.100
CA证书服务器
Windows Server 2012 R2
192.168.1.201
远程桌面连接代理
Windows Server 2012 R2
192.168.1.76
远程桌面网关
202.85.XXX.XXX
接下来就来安装远程桌面网关（RD 网关）角色
步骤1、首先以管理员的身份，登录到RD连接代理服务器BD-，运行服务器管理器，在服务器管理器中，点击远程桌面服务-概述，在概述页面中，可以看到部署概述，然后点击RD网关。
步骤2、在添加RD网关服务器向导中，首先在服务器池中选择要安装RD网关的服务器，要安装RD网关的服务器事先要叫到内网的域中，点击箭头将RD网关服务器添加到右边，然后点击下一步。
步骤3、在添加RD网关向导中命名自签名SSL证书，SSL证书用于对远程桌面服务客户端和RD网关服务器之前的通信进行加密。自签名SSL证书名称必须域RD网关服务器的完全限定域名（FQDN）相匹配，而FQDN必须与远程桌面服务客户端使用的RD网关服务器名称相匹配。这里输入RD-，然后点击下一步。
步骤4、在添加RD网关的却仍选择页面中，查看将要在服务器上安装RD网关角色服务器，并将会此服务器添加到部署中，然后点击添加。
步骤5、在查看进度选项中，等待RD网关的完成安装。
步骤6、在添加RD网关中的结果页面里，可以看见远程桌面网关角色服务已经安装成功，安装完成后，则还需要进简单的配置，在结果页面中，点击配置证书。
步骤7、在部署属性中的配置页面中，选择RD网关，点击选择现有证书，然后点击应用，在之前的章节中，我们介绍了如何申请证书，以同样的方法从域证书服务器中申请证书，然后添加到这里，点击确定。
步骤8、设置完成RD网关证书后，回到步骤6中，点击查看部署RD网关的属性，或者直接在步骤7中，配置玩证书后，直接点击RD网关，则可以查看RD网关的属性。在RD网关属性中，可以选择用户的登录方式，一种是密码身份验证，另一种是智能卡身份验证，或者是让用户进行选择。勾选对远程计算机使用RD网关凭据，当远程计算机登录RD网关时，则需要输入凭据。勾选绕过本地地址的RD网关服务器，如果是内网用户访问RD网关，则可以跳过RD网关服务器，直接连接到RD连接代理服务器。点击确定后。
步骤9、当完成安装RD网关后，在部署概述中就可以看到RD网关的颜色变成了灰色，至此，RD网关的部署工作就完成了。
三、使用远程桌面网关管理器配置RD网关
完成部署安装RD网关后，接下来就是需要进行配置RD网关了，配置RD网关需要以域管理员的身份登录到RD网关服务器中，使用远程桌面网关管理器进行配置，除此之外，还需要对服务器的防火墙进行配置，打开相应的端口，关闭不用的端口，这里就不做演示了，这里主要介绍RD网关的配置选项。
步骤1、在RD网关服务器中，打开控制面板，选择系统和安全，点击管理工具，然后点击远程桌面服务，在远程桌面服务文件夹中，就可以看到远程桌面网关管理器。
步骤2、远程桌面服务工具是随着RD网关的安装而安装的，在其它远程桌面角色中不会安装此工具，如果想远程管理RD网关，则需要在添加角色和功能向导中，选择安装远程桌面网关工具。
步骤4、当打开RD网关管理器后，就可以进行配置，RD网关管理器分为菜单栏，树状结构，显示一栏和操作一栏。
步骤5、在RD网关管理器中，右键点击RD-GW本地RD网关服务器，在弹出的菜单中选择属性，首先要对RD网关服务器进行设置。
步骤6、在RD网关属性中，首先是常规选项栏中，这里可以设置最大连接数，就是用户连接到RD网关服务器的并发数量，如果并发数量较大可能会降低服务器的性能，所以为了避免降低服务器的性能，可以设置允许到服务器的最大并发连接数限制。RD网关的连接总数包括了通过该服务器的所有UDP/HTTP和RPC-HTTP连接。
步骤7、在RD网关属性中的第二选项SSL证书选项中，可以设置RD网关的证书，RD网关证书是HTTPS/UDP侦听程序的安全通信和NAP消息传送所必须的，证书会自动绑定到配置的HTTP和UDP端口，由于之前我们已经申请了证书并成功的导入了RD网关证书，所以在SSL证书一栏中，显示了证书的详细情况。如果没有导入证书，可以通过执行一些操作指定要为RD网关服务器导入的SSL证书类型。
步骤8、在RD网关属性中的传输设置一栏中，设置RD网关的传输IP地址。可以修改HTTP和UPD的传输端口号码，默认为443和3391，协议RPC-HTTP和HTTP传输共享相同的设置。
步骤9、在RD网关属性中的RD CAP页面中，指定是否运行网络侧罗服务器（NPS）的本地或中心服务器上存储的远程桌面连接授权策略（RD CAP）。通过远程桌面连接授权策略 (RD CAP)，可以指定可连接到 RD 网关服务器的用户。此过程描述如何创建新的本地RD CAP。此外，还可以指定中心RD CAP存储。
步骤10、在RD网关属性中的服务器场页面中，可以指定要包括在RD网关服务器场中的RD网关服务器。当在环境中部署了多个RD网关服务后，可将这些RD网关服务组成RD网关服务场，可以进行用户的均衡负载和高可用性。
步骤11、在RD网关属性中的审核页面中，设置为在RD网关中启用日志记录，并选择要记录的事件。
步骤12、在RD网关属性中的SSL桥接页面中。可以设置RD网关配置为可与ISA服务器或非微软产品一起使用，以便执行安全套接字层（SSL）桥接。
步骤13、在RD网关属性中的消息页面中，可以创建一个消息，当用户登录到自己应用或者是桌面时，用户所看到的信息。可以创建一个向以登陆远程计算机的用户显示的消息，也可以选择每次用户登录远程计算机时向用户显示的消息。可允许从支持RD网关消息的远程桌面客户端进行连接。
四、使用远程桌面网关管理器配置RD网关策略
除了对RD网关的设置外，还可以对使用登陆远程计算机的用户和设备进行设置，他与域控制器上的域策略不冲突，只是针对用登陆远程计算机的用户和设备进行设置，所以他分为用户策略和设备策略，在RD网关管理器中，策略选项中，可以看到连接授权策略和资源授权策略。这里先点击连接授权策略，默认情况下会有一个RDG_CAP_AllUser的策略，可以对其进行修改，双击RDG_CAP_AllUsers。
步骤1、在RDG_CAP_AllUsers的属性常规页面中，可以更改RDG_CAP_AllUsers策略的名称，并且选择是否启用，如果存在很多的策略，可以设置策略的顺序级。
步骤2、在RDG_CAP_AllUsers的属性要求页面中，可以指定用户链接到RD网关服务器必须满足的要求，可添加用户组成员身份和客户端计算机组成员身份，并选项受支持的windows身份验证方法支持密码和智能卡选项，如果选择了2种方法，每一种均可用于连接。
步骤3、在RDG_CAP_AllUsers的属性设备重定向页面中，可以对使用RD网关进行连接的客户端，在远程会话中指定是启用还是禁用对本地客户端设备和资源的访问，RD网关设备重定向用于运行远程桌面连接的授信任客户端。目前支持的设备重定向有驱动器、剪贴板、打印机、端口（仅COM和LPT）和支持的即插即用设备。
步骤4、在RDG_CAP_AllUsers的属性超时页面中，指定远程会话超时和重新连接设置，可以设置断开会话前空闲时间和规定一定时间后会话超时，可以设置在达到会话超时之后，可以断开会话连接或者默认重新对会话进行身份验证和授权。
接下来，就可以针对资源授权策略进行设置，资源授权策略默认的名称为RDG_ AllDmainComputers，可双击RDG_ AllDmainComputers进行修改。
步骤1、在RDG_ AllDmainComputers的属性常规页面中，使用RD CAP，可以指定用户可通过RD网关连接的网络资源（计算机），可以更改策略的名称和描述，并且选择是否启用。
步骤2、在RDG_ AllDmainComputers的属性用户组页面中，指定其成员可通过RD网关连接到网络上的远程计算机的用户组，点击添加即可添加用户组。
步骤3、在RDG_ AllDmainComputers的属性网络页面中，设置用户可以使用RD网关连接到网络资源，网络资源包括Active Directory域服务安全组或远程桌面服务器场中的计算机。可以通过选择Active Directory域服务安全组或者选择现有RD网关管理的组或创建新组，或者允许用户连接到任意网络资源。
步骤4、在RDG_ AllDmainComputers的属性允许使用的端口页面中，修改远程桌面客户端的端口，默认情况下，远程桌面客户端通过端口3389远程连接到网络资源。
五、针对RD连接代理（高可用模式）配置RD网关
如果我们的环境中已经配置了RD连接代理（高可用性模式），则在RD网关服务器中，需要配置CAP和RAP，并将所有的RD连接代理服务器和RD连接代理服务群集加入到RD网关中，RD网关的安装与非高可用模式的RD网关相同，点击RD网关后进行安装。
步骤1、在RD网关管理器中，点击策略，在操作一栏中点击新建授权策略。
步骤2、在新建授权策略向导中，为RD网关穿件授权策略，可以同时创建RD CAP和RD RAP策略，也可单独进行创建，如果同时创建RD CAP和RD RAP，用户无法通过此RD网关服务器连接到网络资源。点击下一步。
步骤3、在新建授权向导中的连接授权策略里，输入RD CAP的名称，点击下一步。
步骤4、在要求界面中，选择一个受支持的Windows身份验证方法，并添加关联了用户组和计算机组。
步骤5、在启用或者禁用设备重定向中，指定是启用还是禁用对本地客户端设备和资源的访问。
步骤6、指定远程会话的超时和重新连接设置。
步骤7、查看RD CAP摘要信息。
步骤8、在创建RD RAP中，输入RD RAP的名称。
步骤9、添加将与此RD RAP关联的用户组，这些组的成员用户通过RD网关远程连接到网络资源。
步骤10、这里选择现有RD网关管理的组或创建新组。
步骤11、在RD网关管理的组页面中，创建新的RD网关管理的计算机组并输入组的名称，这里要键入要添加到组的各个网络资源（计算机）的名称，然后点击添加，由于我们的RDCB服务器分别为RDCB01和RDCB02，并在域控制器中的DNS里建立了HARDCB，所以也要添加HARDCB。
步骤12、设置远程桌面的端口信息。
步骤13、最后一步，查看RD CAP摘要，然后点击完成。
步骤13、确认成功创建策略后，就可以点击关闭，至此为RDCB（高可用性）创建的配置CAP和RAP就完成了，通过RD网关进行访问就可以实现RDCB的切换而不影响RD网关的运作。
延伸阅读：
通常一般的企业都会设置备份文件服务器或者共享文件，...
本教程为 李华明 编著的iOS-Cocos2d游戏开发系列教程：教程涵盖关于i......
专题主要学习DirectX的初级编程入门学习，对Directx11的入门及初学者有......
&面向对象的JavaScript&这一说法多少有些冗余，因为JavaScript 语言本......
Windows7系统专题 无论是升级操作系统、资料备份、加强资料的安全及管......win2012 r2下的RemoteApp使用说明_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
win2012 r2下的RemoteApp使用说明
&&部署WIN2012 R2的RemoteApp,如何访问已发布的APP的使用说明。
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢查看:1665|回复：4
以下是我的部署结构：
（1）rd web和rd会话主机是同一台：192.168.100.116
（2）rdcb连接代理：192.168.100.115 主机计算机名称：rdcb
（3）rdgw网关：192.168.100.120&&主机计算机名称：rdgw
（4）公网IP：xx.xx.16.82
我是把116和120这两台的443映射出来，结果连接使用时报如图错误，不明原因，求指点，谢谢哈。
还有就是公网是不是也要做DNS呢？我做时公网没做DNS，只把内网IP和端口映射到公网，若公网只有一个IP，同一个443端口要怎么映射呢？求高人指点，，急，急，，非常感谢~
(20.94 KB)
优秀技术经理
1. 你只要port forward 443 到 RD Gateway机器上就可以。
2. 你要配置正确的名字给RD Gateway，要使用公网能解析的名字，不能用本地名。
在上图的deployment overview窗口的tasks里面，可以弹出deployment property的选项。
3.&&如图，使用公网能解析的名字，而不是xxx.local.
没用过这个功能，来学习一下！ ...
本帖最后由 hot_powerz 于
00:58 编辑
记得点“引用/回复” 我才能跟踪你的问题与反馈。
因为专注，所以专业。
引用:原帖由 hot_powerz 于
07:33 发表
1. 你只要port forward 443 到 RD Gateway机器上就可以。
2. 你要配置正确的名字给RD Gateway，要使用公网能解析的名字，不能用本地名。
http://social./wiki/resized-image.ashx/__size/550x0/__k ... 好的，谢谢兄弟，明白了，，感谢感谢~
引用:原帖由 hot_powerz 于
07:33 发表
1. 你只要port forward 443 到 RD Gateway机器上就可以。
2. 你要配置正确的名字给RD Gateway，要使用公网能解析的名字，不能用本地名。
http://social./wiki/resized-image.ashx/__size/550x0/__k ... 大侠，我公网是A.f3322.net& &&&内网域名是& & & && && &这该咋设置呢？
1、SSL证书是不是设置成A.f3322.net
2、代理证书是不是
3、访问的是时候不是提示
该计算机无法验证RD网关的身份。连接到无法识别的服务器是不安全的。请联系网络管理员以获取帮助
死活进不去啊。。。
优秀技术经理
引用:原帖由 ywz306 于
13:44 发表
大侠，我公网是A.f3322.net& &&&内网域名是& & & && && &这该咋设置呢？
1、SSL证书是不是设置成A.f3322.net
2、代理证书是不是
3、访问的是时候不是提示
该计算机无法验证RD网关的身份。连接到无法 ... 按道理，证书不对只会给警告，并不会禁止你的连接。SSL证书理想状态应当设置成A.F3322.NET。而内网连接，则选择BYPASS rd gateway。
还有一种选项，你可以先将颁发证书给A.F3322.NET的CA 的ROOT证书安装到客户端的TRUSTED ENTERPRISE CA LIST 中。这样，所有这个CA颁发的证书就会是信任证书。
记得点“引用/回复” 我才能跟踪你的问题与反馈。
因为专注，所以专业。