快速發(fā)布Remote APP程序

RDS服務(wù)的組成角色

RDS最核心的角色是RD虛擬化主機和RD會話主機。對于前者來說，主要實現(xiàn)虛擬桌面服務(wù)，對于后者來說，主要實現(xiàn)應(yīng)用程序虛擬化。當(dāng)提供了后臺核心服務(wù)后，就需要使用RD連接代理來管理用戶訪問進(jìn)程。例如，當(dāng)使用多臺服務(wù)器部署了會話主機池，在其中提供了多個虛擬程序，當(dāng)客戶端訪問目標(biāo)虛擬程序時，會隨機連接到某臺會話主機上。當(dāng)該客戶端因為某些原因異常中斷訪問，再次進(jìn)行連接時，RD連接代理可以自動幫助恢復(fù)之前失去的連接。RD Web訪問角色為用戶提供了訪問接口，RD網(wǎng)關(guān)可以將RDS服務(wù)發(fā)布到Internet上，RD授權(quán)負(fù)責(zé)授權(quán)管理。打開服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→概述”項，可以清晰地看到RDS服務(wù)的組成角色（如圖 1）。

圖1 RDS服務(wù)的組成角色

執(zhí)行標(biāo)準(zhǔn)部署操作

這里就先以在公網(wǎng)上發(fā)布Remote APP為例進(jìn)行說明，在企業(yè)內(nèi)網(wǎng)中存在名為Rserer1的服務(wù)器，作為RD會話主機， IP為192.168.1.10。 名 為Rserver2的服務(wù)器為連接代理， IP為192.168.1.20。名 為Rserver3的 服 務(wù)器 作 為RD Web主 機， IP為192.168.1.30。 名 為“Rdgate”的主機作為RD網(wǎng)關(guān)服務(wù)器， IP為192.168.1.31。這些主機都加入到域環(huán)境，DC的 IP為192.168.1.2，并安裝了CA角色。

在域中任意主機（例如“Rserver1”）上 打開 服務(wù)器管理器，在“所有服務(wù)器”項的右鍵菜單上點擊“添加服務(wù)器”，在“Active Directory”面板中的“名稱”欄中輸入“rserver”，找到并導(dǎo) 入 Rserver2、Rserver3、rdgate主機添加進(jìn)來。之后點擊菜單“管理→添加角色和功能”項，可以針對該服務(wù)器組進(jìn)行操作。

在向?qū)Ы缑嬷羞x擇“遠(yuǎn)程桌面服務(wù)安裝”，點擊下一步，選擇“標(biāo)準(zhǔn)部署→基于會話的桌面部署”，在下一步窗口中按照提示，依次設(shè)置Rserver2主機作為連接代理服務(wù)器，Rserver3主機為RD Web訪問服務(wù)器，Rserver1主機為RD會話主機。選擇“需要時自動重新啟動目標(biāo)服務(wù)器”項，點擊部署按鈕，執(zhí)行具體的部署操作。

創(chuàng)建和管理RemoteAPP程序

在服務(wù)器管理器左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→概述”項，點擊“創(chuàng)建會話集合”，在向?qū)Ы缑嬷休斎爰系拿Q（例如“APP_Pool”），之后選擇名為Rserver1的會話主機，在下一步窗口中設(shè)置用戶組，即哪些用戶可以訪問該集合，默認(rèn)為所有的域賬戶。之后設(shè)置用戶配置文件路徑和容量，點擊創(chuàng)建按鈕，創(chuàng)建該集合。有了集合之后，就可以向其中添加應(yīng)用程序。在左側(cè)選擇“集合→APP_Pool”，在“RemoteApp程序”列表右側(cè)點擊“任務(wù)→發(fā)布RemoteApp程序”項，選擇單個或者多個目標(biāo)程序，將其發(fā)布出去。

當(dāng)用戶訪問“https://rserver3.xxx.com/reweb”網(wǎng)址，因為沒有配置證書，所以會顯示“此網(wǎng)站的安裝證書存在問題”的警告，點擊“繼續(xù)瀏覽此網(wǎng)站”項，輸入合適的域賬戶名和密碼，在“RemoteApp和桌面”欄中雙擊目標(biāo)程序，點擊“連接”，就可以運行該程序。對于域中的主機來說，即使不進(jìn)行任何配置，因為受到域架構(gòu)的信任，可以實現(xiàn)SSO單點身份驗證功能，即輸入域賬戶名和密碼，就可以順利訪問RD會話主機。但是，工作組中的客戶端不受域架構(gòu)信任，訪問RD會話主機時，需要在RDWeb主機上進(jìn)行身份驗證，還要到RD代理主機上進(jìn)行身份驗證。

提交多域名證書申請

為了針對RD連接代理實現(xiàn)SSO單一登錄功能，同時為了實現(xiàn)安全訪問RDS服務(wù)，就需要使用證書加以應(yīng)對。為了提高證書的使用效率，可以將RD Web、RD代理服務(wù)、RD網(wǎng)關(guān)等主機的多個域名綁定到單張證書上，實現(xiàn)多域名證書功能。在域中任意主機（例如Rserver1）上運行“gpupdate /force”命令，使其信任CA證書頒發(fā)機構(gòu)。運行“mmc”程序，在控制臺中點擊“文件→添加/刪除管理單元”項，選擇“證書”，點擊“添加”，選擇“計算機賬戶”將其導(dǎo)入。

在控制臺左側(cè)選擇“證書→高級操作→創(chuàng)建自定義請求→Active Directory注冊策略→下一步”按鈕，在自定義請求窗口中的“模板”列表中選擇“Web服務(wù)器”，在下一步窗口中選擇“Web服務(wù)器”，在詳細(xì)信息欄中點擊“屬性”，在打開窗口中的“使用者”面板中的“使用者名稱”列表中選擇“公用名”項，在“值”欄中輸入合適的名稱，例如“app.xxx.com”。點擊“添加”將其添加到列表中。在“類型”列表中選擇“DNS”項，在“值”欄中分別輸入并添加以上域名，例如rserver1.xxx.com，rserver3.xxx.com，rdgate.xxx.com等。在“常規(guī)”面板中輸入名稱，在“私鑰”面板中的“密鑰選項”欄中選擇“使私鑰可以導(dǎo)出”和“允許私鑰存檔”項：點擊確定按鈕保存配置。在下一步窗口中點擊瀏覽按鈕，導(dǎo)出后綴為“.req”的請求文件。

下載多域名證書

點擊完成按鈕，返回控制臺。使用記事本打開上述請求文件，復(fù)制內(nèi)容，在瀏覽器中訪問“https://192.168.1.2/certsrv”，在彈出頁面中點擊“申請證書→高級證書申請”鏈接，點擊“使用base64編碼的CMC或PKCS#10文件提交一個證書，或使用base64編碼的PKCS#7續(xù)訂證書申請”鏈接，在“保存的申請”欄中粘貼申請文件內(nèi)容，在“證書模板”列表中選擇所需的模板，例如Web服務(wù)器。點擊“提交”按鈕，在證書已頒發(fā)頁面中點擊“下載證書”鏈接，將后綴為“.cer”的證書文件下載到本地。

在控制臺左側(cè)的“證書→個人”項的右鍵菜單上點擊“所有任務(wù)→導(dǎo)入”，選擇上述證書文件，點擊完成將證書導(dǎo)入，該步驟其實就是讓公鑰和私鑰建立關(guān)聯(lián)。選擇“證書→個人”，在右側(cè)選擇導(dǎo)入的證書，在右鍵菜單上點擊“所有任務(wù)→導(dǎo)出”項，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項，在安全窗口中選擇“密碼”項，輸入密碼后，將其導(dǎo)出為獨立的PFX文件，例如“zhengshu.pfx”。這樣，就取得了包含多域名的證書。在Rserver3等主機上執(zhí) 行“gupdate /force”命令，使其信任根證書頒發(fā)機構(gòu)。如果從公網(wǎng)CA頒發(fā)機構(gòu)獲取的證書，無需執(zhí)行該操作。

導(dǎo)入多域名證書

在Rserver1上打開服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→集合”，在右上角點擊“任務(wù)→編輯部署屬性”項，在部署屬性窗口左側(cè)點擊“證書”項，在管理證書窗口中的“角色服務(wù)”列表中選擇“RD Web訪問”項，點擊“選擇現(xiàn)有的證書→瀏覽”，選擇上述“zhengshu.pfx”文件，輸入對應(yīng)的密碼，選擇“允許向目標(biāo)計算機上受信任的根證書頒發(fā)機構(gòu)證書存儲中添加證書”項，將該證書導(dǎo)入到本地。點擊“確定”保存配置，返回上一級窗口點擊應(yīng)用按鈕，可以看到RD Web訪問的狀態(tài)顯示為“成功”，表示證書配置完成。按照同樣的方法，分別選擇“RD連接代理-啟用單一登錄”和“RD連接代理-正在發(fā)布”角色，分別配置證書。

當(dāng)在客戶端訪問“https://rserver3.xxx.com/reweb” 網(wǎng) 址 的 話，就會發(fā)現(xiàn)關(guān)于證書的警告消失了。對于工作組客戶端來說，需要訪問“http://192.168.1.2/certsrv”網(wǎng)址，依次點擊“下載CA證書、證書鏈或CRL”和“下載CA證書”鏈接，下載后綴為“.cer”的證書。在該證書文件的右鍵菜單上點擊“安裝”項，在向?qū)Ы缑嬷羞x擇“將所有的證書放入下列存儲”項，點擊瀏覽按鈕選擇“受信任的根證書頒發(fā)機構(gòu)”項。點擊下一步完成證書的安裝操作。之后就可以順利訪問RD Web服務(wù)器。當(dāng)工作組中的客戶端訪問時，因為具有了SSO認(rèn)證功能，可以避免多次身份驗證的繁瑣。

發(fā)布RDS服務(wù)，從公網(wǎng)上訪問虛擬程序

如果希望將RDS服務(wù)發(fā)布到Internet上，必須依靠RD網(wǎng)關(guān)的支持。在上述概述窗口中選擇“RD網(wǎng)關(guān)”，在選擇服務(wù)器窗口中選擇“rdgate”服務(wù)器，將其添加進(jìn)來。點擊下一步，在“SSL證書名稱”欄中輸入FQDN名稱，例如“rdgate.xxx.ocm”。點擊“添加”即可在名為RDgate的主機上安裝RD網(wǎng)關(guān)角色。之后在上述部署屬性窗口左側(cè)選擇“證書”，在右側(cè)的“角色服務(wù)”列表中選擇“RD網(wǎng)關(guān)”，點擊“選擇已有的證書”按鈕，按照上述方法配置證書。

RD網(wǎng)關(guān)實際上充當(dāng)反向代理的作用，當(dāng)外網(wǎng)用戶通過防火墻訪問內(nèi)網(wǎng)中的RD Web主機時，RD Web主機返回操作頁面給客戶端，客戶端再通過內(nèi)網(wǎng)中的RD網(wǎng)關(guān)訪問所需資源。RD網(wǎng)關(guān)的重要作用還在于可以屏蔽內(nèi)網(wǎng)中的服務(wù)器，讓RD會話主機之類的服務(wù)器無需面對公網(wǎng)用戶，大大提高了內(nèi)網(wǎng)的安全性。因為客戶端和RD Web以及RD網(wǎng)關(guān)之間都是通過TCP 443端口建立連接，因此需要在防火墻提供兩個IP，分別映射到RD Web主機和RD網(wǎng)關(guān)上。

配置簡單的防火墻

這里為了便于說明，使用一臺Windows Server 2008服務(wù)器扮演防火墻角色，安裝路由和遠(yuǎn)程訪問服務(wù)，配置兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)，在外網(wǎng)連接上綁定兩個IP，例如100.61.199.1和100.61.199.2，分 別 對應(yīng)Rserver3.xxx.com和Rdgate.xxx.com域名。這兩個域名需要在公網(wǎng)上注冊，即客戶端可以從Internet上進(jìn)行解析。

在路由和遠(yuǎn)程訪問窗口左側(cè)選擇本機名，在右鍵菜單上點擊“配置并啟用路由和遠(yuǎn)程訪問”項，在向?qū)Ы缑嬷羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換”項，點擊下一步，選擇“使用此公共端口連接到Internet”項，在列表中選擇外部鏈接，點擊完成啟動路由和遠(yuǎn)程訪問服務(wù)。在左側(cè)選擇“IPv4→NAT”，在右側(cè)選擇外部連接接口，在屬性窗口的“地址池”面板中點擊“添加”，輸入IP范圍為從100.61.199.1到100.61.199.2。

在“服務(wù)和端口”面板中點擊“添加”按鈕，在打開窗口中輸入服務(wù)的描述信息，選擇“在此地址池項”項，輸 入“100.61.199.1”，傳輸端口設(shè)置為443，專用地址為192.168.1.30，即RD Web主機的地址，傳輸端口為443，點擊確定就可以將“100.61.199.1”映射到RD Web主機上。同理，再添加一個服務(wù)，將“100.61.199.2”映射到RD網(wǎng)關(guān)主機上。

執(zhí)行訪問測試操作

為了便于測試，可以在客戶端上打開“C:WindowsSystem32Driversetc”目錄，編 輯 其 中 的“hosts”文 件，在 其 中 添 加“100.61.199.1 rserver3.xxx.com”，“100.61.199.2 rdgate.xxx.com” 兩 行，來進(jìn)行最簡單的域名解析。這樣，當(dāng)外網(wǎng)用戶訪問“https://rserver3.xxx.com/reweb”網(wǎng)址，就可以訪問內(nèi)網(wǎng)中的RD Web服務(wù)器來使用RemoteApp程序。

實際上，當(dāng)使用遠(yuǎn)程桌面時，可以通過RD網(wǎng)關(guān)轉(zhuǎn)接，例如在客戶端運行“mstsc.exe”程 序，在遠(yuǎn)程桌面連接窗口底部點擊“顯示選項”項，在“常規(guī)”面板中的“計算機”欄中輸入RD會話主機名，例如“rserver1.xxx.com”，在“高級”面板中點擊“設(shè)置”按鈕，在“連接設(shè)置”欄中選擇“使用這些RD網(wǎng)關(guān)服務(wù)器設(shè)置”項，輸入RD網(wǎng)關(guān)服務(wù)器名，例如Rdgate.xxx.com。在“登錄方法”列表中選擇“詢問密碼（NTLM）”項，點擊確定按鈕，就可以通過RD網(wǎng)關(guān)連接到目標(biāo)服務(wù)器上。這樣，就避免了將TCP 3389暴露在公網(wǎng)上，提高了安全性。