©著作權歸作者所有:來自51CTO博客作者mabofeng的原創作品,請聯系作者獲取轉載授權,否則將追究法律責任
01-Windows Server 2012 R2 遠程桌面服務部署指南
文章來源:https://blog.51cto.com/mabofeng/1316095摘抄文章是為了以防鏈接失效或者文章丟失,若原文作者引起反感可以隨時刪除。
作者:馬博峰
對於大部分的IT部門來說,服務器虛擬化並不是的IT首要挑戰,而是越來越龐大的企業個人辦公環境。企業內部的用戶都希望能從任何位置,使用自己慣用的任何設備訪問企業應用與數據。然而無論通過 LAN或者是WAN連接,無論所用設備的顯示能力如何,他們都希望能獲得熟悉、一致、豐富、流暢的桌面與應用程序體驗。此時企業需要的是高效率的VDI方案,VDI桌面虛擬化的優勢在於運算集中在服務器端,將所有桌面虛擬機在數據中心進行托管並統一管理;同時用戶能夠獲得完整PC的使用體驗。簡單的來說,虛擬桌面或應用是指:支持企業級實現桌面系統和應用系統的遠程動態訪問與數據中心統一托管的技術。一個形象的類比,就是今天,我們可以通過任何設備、在任何地點,任何時間訪問在網絡上的我們的郵件系統,或者網盤;而未來我們可以通過任何設備,在任何地點,任何時間訪問在網絡上的屬於我們個人的桌面系統和應用系統。
隨着最新的Windows Server 2012 R2在2013年10月發布,微軟使得針對不同設備部署與交付虛擬桌面資源的過程更簡單,更具成本效益。Windows Server 2012 R2 中的 VDI 技術能讓用戶用幾乎任何設備,用更簡單,保真度更高的方式訪問數據中心內托管的 Windows 環境。通過 Hyper-V 與遠程桌面服務(RDS),微軟通過一套解決方案提供了三種靈活的 VDI 部署選項:池化桌面、個人桌面,以及遠程桌面會話(原先的終端服務)。同樣在 Windows Server 2012 R2 中,IT管理者將獲得一套完整的 VDI 工具集,借此可讓用戶通過各種流行的設備從幾乎任何地點用靈活的方式訪問數據與應用,同時可維持安全性與合規性。
一、遠程桌面服務簡介
遠程桌面服務(以前稱為“終端服務”)是 Windows Server 2012 R2 中的一個服務器角色,它提供的技術可讓用戶訪問在遠程桌面會話主機(RD 會話主機)服務器上安裝的各種 Windows 程序,或者訪問完整的 Windows 桌面。使用遠程桌面服務,用戶可以從公司網絡內部或 Internet 訪問 RD 會話主機服務器。當用戶訪問 RD 會話主機服務器上的程序時,該程序將在服務器上運行。每個用戶只能看到他們自己的會話。該會話由服務器操作系統透明地管理,獨立於任何其他客戶端會話。此外,可以配置遠程桌面服務,以便使用 Hyper-V為用戶分配虛擬機,或讓遠程桌面服務在用戶連接時動態地為用戶分配可用虛擬機。遠程桌面服務支持在企業環境中高效地部署和維護軟件。可以輕松地從中央位置部署程序。由於將程序安裝在RD會話主機服務器而不是客戶端計算機上,因此升級和維護程序將更加簡單。
二、遠程桌面服務角色組成
遠程桌面服務是一種服務器角色,由多個角色服務組成。在 Windows Server 2008 R2 中,遠程桌面服務包含以下角色服務:
1、RD 會話主機:遠程桌面會話主機(RD 會話主機),以前稱為終端服務器,支持服務器承載基於 Windows 的程序或完整的 Windows 桌面。用戶可連接到 RD 會話主機服務器來運行程序、保存文件,以及使用該服務器上的網絡資源。
2、RD Web 訪問:遠程桌面 Web 訪問(RD Web 訪問),以前稱為 TS Web 訪問,支持用戶通過運行 Windows 8.1的計算機上的“開始”菜單或通過 Web 瀏覽器訪問 RemoteApp 和桌面連接。RemoteApp 和桌面連接為用戶提供了一個自定義的 RemoteApp 程序和虛擬機視圖。
3、RD 授權:遠程桌面授權(RD 授權),以前稱為TS授權,管理每個設備或用戶連接到 RD 會話主機服務器所需的遠程桌面服務客戶端訪問許可 (RDS CAL)。您可使用 RD授權在遠程桌面許可證服務器上安裝和發布 RDSCAL,並跟蹤其可用性。
4、RD 網關:遠程桌面網關(RD 網關),以前稱為TS網關,使授權的遠程用戶能夠從任何聯網設備連接到內部企業網絡上的資源。
5、RD 連接代理:遠程桌面連接代理(RD連接代理),以前稱為TS會話代理,支持負載平衡RD會話主機服務器場中的會話負載平衡和會話重連。還可使用 RD 連接代理並通過 RemoteApp 和桌面連接讓用戶訪問RemoteApp程序和虛擬機。
6、RD 虛擬化主機:遠程桌面虛擬化主機(RD 虛擬化主機)與 Hyper-V 集成,以承載虛擬機並以虛擬機的形式將它們提供給用戶。您可以為您組織中的每個用戶分配一個唯一虛擬機,或者為他們提供對一個虛擬機池的共享訪問。
三、遠程桌面服務的部署方式
遠程桌面服務部署方式包括“基於虛擬機基礎結構(VDI)部署”和“基於會話虛擬化部署”。 基於虛擬機基礎結構(VDI)部署是需要主機中具有Hyper-V功能,在 Windows Server 2012 R2中,遠程桌面服務包括高效配置和管理虛擬機的新方式。用戶可以通過遠程桌面協議 (RDP) 訪問Hyper-V中的虛擬機。
基於會話的虛擬化部署(Remote App)無需主機中具有Hyper-V功能,在 Windows Server 2012 中,遠程桌面服務中的會話虛擬化部署包括高效配置和管理基於會話的桌面的新方式。在早期版本的遠程桌面服務中,RD 會話主機服務器的現行管理在每服務器級別執行。通過使用會話虛擬化部署方案,支持集中式管理和安裝。
四、設置遠程桌面服務域環境
1、使用windows Server 2012 R2 配置AD-DC為域控制器
無論是采用什么部署方式,都需要設置基礎結構,在企業環境中准備遠程桌面服務環境,必須完成安裝和配置域控制器 (AD-DC),使用 Windows Server 2012 R2 配置域控制器 AD-DC,配置步驟如下:
步驟1、全新安裝Windows Server 2012 R2,並配置域控計算機名稱為AD-DC。
步驟2、配置 TCP/IP 屬性,使 AD-DC 具有 IPv4 靜態 IP 地址 192.168.1.100。使用 AD-DC\Administrator 帳戶登錄到 AD-DC,依次單擊「開始」、“控制面板”、“網絡和 Internet”、“網絡和共享中心”、“更改適配器設置”,右鍵單擊“本地連接”,然后單擊“屬性”。在“網絡”選項卡上,單擊“Internet 協議版本 4 (TCP/IPv4)”,然后單擊“屬性”。單擊“使用下面的 IP 地址”。在“IP 地址”框中,鍵入192.168.1.100。在“子網掩碼”框中,鍵入 255.255.255.0,然后單擊“確定”。在“網絡”選項卡上,單擊“確定”,然后關閉“本地連接屬性”對話框。
2、在AD-DC服務器中添加Active Directory域服務角色+DNS服務器
注意1:因為AD域服務屬於服務器功能,所以要求windows server機器的服務中開啟 “Server”服務,並設置為自動。
注意2:有的公司在Windows基線模版,手動在防火牆的里添加了:禁止TCP135、139、445“入站規則”:;和禁止UDP 137、138端口的“入站規則、出站規則”,此目的是防止SMB文件傳輸和打印共享攻擊。記得去防火牆處刪除禁止的“入站規則、出站規則”,才能正常加域。
單擊「服務器管理器」,然后單擊“管理”。在“管理”框中,選擇添加角色和功能,然后在開始之前界面中,點擊“下一步”,在安裝類型頁面中,選擇“基於角色或者基於功能的安裝”點擊下一步,在服務器選擇頁面中,選擇“從服務器池中選擇服務器”,默認為本機,然后點擊下一步。在服務器角色頁面中,勾選“Active Directory 域服務”和“DNS服務器”,點擊下一步。直到安裝工作結束。
3、將AD-DC服務器提升為域控制器
步驟1、打開“運行”。在“運行”框中,鍵入 dcpromo,然后單擊“確定”。在“Active Directory 域服務配置向導”部署配置頁上,選擇“添加新林”,在根域名中輸入“mabofeng.com”然后單擊“下一步”。
步驟2、在域控制器選項頁面中,選擇新林和根域的功能級別,都選擇為Windows Server 2012 R2,並指定域控制器功能,勾選“域名系統(DNS)服務器”,最后輸入目錄服務還原模式(DSRM)密碼,點擊下一步。
步驟3、在“DNS選項”頁面中,由於之前選擇域控制器功能包括“域名系統(DNS)服務器”,所以在“DNS選項”頁面中,無法創建該DNS服務器的委派,之后點擊下一步。
步驟4、在“其他選項”頁面中,確保為域分配了NetBIOS名稱,並在必要是更改該名稱,如果網絡環境中有相同的NetBIOS名稱,則需要重新更改NetBIOS名稱,點擊下一步。
步驟5、在“路徑”界面中,指定AD DS數據庫、日志文件和SYSVOL的位置,默認情況下是在C:\Windows\NTDS和C:\Windows\Sysvol中,可點擊“…”進行更改,之后點擊下一步。
步驟6、在“查看選項”界面中,查看新域名的設置,然后點擊下一步。
步驟7、在“先決條件檢查”頁面中,西葯驗證先決條件后才能在此計算機上安裝Active Diretory域服務,通過所有先決條件檢測都通過后,點擊“安裝”開始安裝。安裝過程結束后需要重新啟動,直到域控制器配置完成。
注:彈出選擇框默認確定即可。
在"功能"界面保持默認設置,單擊"下一步"按鈕;進入"確認"部分,確認需要安裝的組件,勾選"如果需要,自動重新啟動目標服務器"復選框。
步驟8、升級為服務器:安裝Active Directory域服務器后,需要將此服務器提升為域控制器。單擊"將此服務器提升為域控制器"選項,如不慎關閉了此界面,可以打開"服務器管理器"界面進行操作,點擊右上角的"!"按鈕。
4、設置AD-DC域控制器用戶和用戶組
當完成域控制器的配置,接下來就是在域中創建用戶帳戶和組。首先,以域管理員帳戶 (mabofeng\Administrator) 登錄到 AD-DC中,單擊「服務器管理器」,點擊“管理”,然后單擊“Active Directory 用戶和計算機”。
步驟1、在控制台樹中,展開 mabofeng.com。為了方便管理VDI用戶和普通用戶,我們在Active Directory 用戶和計算機建立“VDI Group”的組織單位,然后在組織單位中建立相應的用戶。
步驟2、以同樣的方式,分別在VDI Group的組織單位中建立user01和user02。右鍵單擊“VDI Group”,在右邊窗口中點擊右鍵,指向“新建”,然后單擊“用戶”
步驟3、在“新建對象 – 用戶”對話框中,在“全名”和“用戶登錄名”中鍵入
User02,然后單擊“下一步”。在“新建對象 - 用戶”對話框中,鍵入在“密碼”和“確認密碼”框中選擇的密碼。清除“用戶下次登錄時須更改密碼”復選框,並選擇“密碼永不過期”,單擊“下一步”,然后單擊“完成”。
步驟4、在Windows Server 2012 R2中,有5個與遠程桌面有關的用戶組,這幾個用戶組與遠程桌面用戶有很大的關系,這些關系為:
Remote Management Users: 此組的成員可以通過管理協議(例如,通過 Windows 遠程管理服務實現的 WS-Management)訪問 WMI 資源。這僅適用於授予用戶訪問權限的 WMI 命名空間。
Remote Desktop Users: 此組中的成員被授予遠程登錄的權限
RDS Remote Access Servers: 此組中的服務器使 RemoteApp 程序和個人虛擬桌面用戶能夠訪問這些資源。在面向 Internet 的部署中,這些服務器通常部署在邊緣網絡中。需要將此組填充到運行 RD 連接代理的服務器上。在部署中使用的 RD 網關服務器和 RD Web 訪問服務器需要位於此組中。
RDS Management Servers: 此組中的服務器可以在運行遠程桌面服務的服務器上執行例程管理操作。需要將此組填充到遠程桌面服務部署中的所有服務器上。必須將運行 RDS 中心管理服務的服務器包括到此組中。
RDS Endpoint Servers: 此組中的服務器運行虛擬機和主機會話,用戶 RemoteApp 程序和個人虛擬桌面將在這些虛擬機和會話中運行。需要將此組填充到運行 RD 連接代理的服務器上。在部署中使用的 RD 會話主機服務器和 RD 虛擬化主機服務器需要位於此組中。
步驟5、根據用戶不同的需求,設置相應的用戶隸屬組。
建議添加權限:
遠程桌面:Remote Desktop Users
RemoteApp:RDS Remote Access Servers
域控配置DNS轉發
配置DNS轉發,添加一個公網的DNS服務器,也可以是內網的DNS。
