门门精通
如何将您的应用程序和数据扩展到每个角落!
Greg Shields
拨开迷雾见真相,每个 IT 专业人员的核心工作都有套路可循。我喜欢的任务表述是:*IT 的核心任务是创建、管理业务应用程序和数据以及确保对它们进行安全访问。*除此之外,修补、故障排除和帮助台支持都是用于支持该核心任务的活动。无论您是大型企业中的 IT 专业人员还是小型企业中的多面手,确保那些应用程序正常运行并保护其数据安全,才是最重要任务。
因此,作为完成该任务的智能解决方案,Microsoft 的远程桌面服务 (RDS) 等技术应运而生。使用 RDS,通过网络连接创建对所有位置的应用程序普遍和安全的访问将没有意义。
然而,RDS 的前身 — 终端服务很长一段时间以来一直是用作在 LAN 中定位应用程序访问的解决方案,仅自 Windows Server 2008 将此产品发展成熟后才可以基于 Internet 进行访问。目前,RDS 最具吸引力的优势是容易实施。您可以非常轻松地或几乎不借助以往的经验就可将您的应用程序和数据扩展到整个 Internet。您只需要两个服务器、一个 SSL 证书和单击几下鼠标就可以开始了。
实现条件
在 Windows Server 2008 R2 版中,Microsoft 将以前的终端服务解决方案重命名为远程桌面服务。从新名称可以看出,RDS 的扩展角色为托管虚拟桌面 解决方案,传统角色为托管应用程序 解决方案。现在,可以使用同一 RDS 将用户连接到一组应用程序或整个虚拟桌面。关于托管虚拟桌面配置,我将在以后的专栏中进行介绍,在此我向您介绍此桌面将用户连接到托管应用程序的简易性。
首先,您需要两个服务器。其中一个需要配有充足的处理器和内存资源(具体量请您自己考虑)。此加强型服务器将是您的远程桌面会话主机 (RDSH) 服务器。您将在此服务器上安装希望用户访问的应用程序。因此,它必须配备足够的资源以支持多个用户同时运行这些应用程序。
在本文的简单示例中,通过 Internet 托管的应用程序是 Microsoft Outlook 2007。由于启动 Outlook 2007 中的附件经常需要 Microsoft Office 的协助,因此将安装整个 Office 套件。请注意,安装整个套件后,用户仅可直接访问 Outlook。
另一个服务器的配置可以大大降低。此服务器将充当远程桌面网关 (RDG) 服务器,并用作基于 Internet 的“外部”连接和“内部”RDSH 服务器之间的一种代理。由于此服务器仅充当网关,因此可以大幅降低其资源配置。
当准备 RDG 服务器时,请注意需要在 Internet 和 RDG 服务器之间的防火墙上打开一个端口。打开 443/TCP 后,外部客户端即能够连接到 RDG 服务器。RDG 服务器将充当保护网关(通常在 3389/TCP 上),为客户端传递安全的 RDSH 通信(参见图 1)。
.png)
图 1 RDG 服务器充当 Internet 客户端和远程桌面会话主机之间的保护网关。
您需要的第三项是 SSL 证书,其主题名称是您的网关服务器,即该服务器的可通过 Internet 访问的完全限定域名。您可以使用 Microsoft 的内置证书服务免费创建此类证书,但每年花费大约 30 美元从受信任的提供商购买公用证书会大大简化部署。在此示例中,使用的证书被链接到名为 server1.contoso.com 的服务器。
安装远程桌面会话主机
将您的应用程序扩展到 Internet 的第一步与应用程序无关。根据 RDS 更改 Windows 服务器的操作环境的方式,建议先安装 RDSH,然后安装其他应用程序。因此,开始在 \\server2 上首次安装 Windows Server 2008 R2 时,使用远程桌面会话主机角色服务添加远程桌面服务角色。
如果这是您第一次安装 RDS,还需要安装远程桌面授权服务,但本文不详细介绍对该组件的配置。有关详细信息,请参阅 https://technet.microsoft.com/library/dd983943(WS.10).aspx。
在 RDSH 安装过程中,需要进行下列四项重要配置:
- 身份验证方法。 网络级别身份验证 (NLA) 提高了 RDSH 服务器对用户进行身份验证的安全性,但只有安装了远程桌面客户端 6.0 或更高版本的 Windows XP SP3、Windows Vista 和 Windows 7 客户端才支持该功能。如果您的客户端符合这些要求,则启用 NLA 是首选设置。
- 授权模式。 提供了两种授权方法,这两种方法完全取决于您为实现授权所购买的 RDS 客户端访问许可证 (CAL) 的类型。每设备 CAL 链接到各个设备,但可由任意数量的用户使用。每用户 CAL 链接到用户,但可在任意设备上使用。在尚未购买 CAL 的评估环境中,您可以选择稍后配置此信息。必须在 120 天以内配置授权,否则 RDS 将不再接受连接。
- 用户组。 此处,配置将拥有通过 Internet 连接到此 RDSH 服务器的访问权限的用户或组。
- 客户端体验。 这是最后一个配置,可在 RDSH 服务器上启用或禁用特殊客户端功能,特别是音频和视频播放、音频录制重定向以及 Windows Aero 用户界面元素。其中各项功能都将增加会话期间必须在客户端和服务器之间传递的数据量,因此仅当实现需要时才启用这些功能。
回答上述问题后,RDSH 将安装到 \\server2。完成该安装后,接下来安装 Microsoft Office 套件。请注意将应用程序安装到 RDSH 服务器需要一个额外步骤,而该步骤在典型安装中不需要。要安装 Office 或任何应用程序,请首先导航到“控制面板”中的“在远程桌面服务器上安装应用程序”项。现在,输入 Office 的安装文件的路径并允许安装在此“控制面板”应用程序中运行。
在 RDSH 服务器上安装的所有软件都必须通过此机制进行安装。另外,请注意某些应用程序可能要求进行特殊配置才能安装到 RDSH 上。Microsoft 在 https://connect.microsoft.com/tsappcomp 中提供了免费的 RDS Application Analyzer 工具来帮助您了解这些特殊安装的要求。
安装远程桌面网关
远程桌面会话主机安装完成后,您可以通过远程桌面网关为基于 Internet 的客户端启用该主机。此过程的第一步是将您购买的 SSL 证书安装到 \\server1。获取此证书的实际过程取决于颁发者,该证书必须安装到本地计算机的个人存储中(与当前用户的个人存储对应),才能被 RDG 使用。
.png)
图 2 为 RDG 配置证书。
正确安装该证书后,请使用远程桌面网关角色服务将远程桌面服务角色安装到 \\server1。如图 2 中所示,尽管此安装的配置看似比 RDSH 安装复杂,但仍只需要注意以下四点:
- 服务器身份验证证书。 如果您已将 SSL 证书正确安装到本地计算机的个人存储中,则该证书将在如图 2 所示的框中列出。
- RD 网关用户组。 允许在此位置识别的组通过此 RDG 服务器连接到内部资源。
- RD CAP。 远程桌面连接授权策略可标识用于对访问 RD 网关服务器的用户进行身份验证的机制。可通过输入密码、使用智能卡或同时使用这两种方法对用户进行身份验证。在此简单示例中,将只使用密码对用户进行身份验证。
- RD RAP。 远程桌面资源授权策略可标识通过 RDG 进入的用户可访问的内部资源。您可以在此处标识可访问的一组计算机(或网络中的所有计算机)。在此示例中,该计算机组仅限于使用 RDSH 服务器 \\server2 访问。
通过单击逐步完成向导中的其余步骤,即可完成安装并准备要使用的 RDG。此时,RDG 开始接受到 RDSH 服务器的连接。
配置 Outlook RemoteApp
许多 JOAT 管理员从这一步骤开始感到迷惑。此过程中的下一步实际上也是在 RDSH 服务器上完成的。在该服务器上,您将为 Microsoft Outlook 创建 RemoteApp 配置。在该配置中,将包含必要的信息,因此外部客户端可通过 Internet 连接到 RDG 服务器。
导航到服务器管理器中的 RemoteApp 管理器。右键单击其链接,并选择“添加 RemoteApp 程序”。在出现的向导中,选中安装的应用程序列表中的 Microsoft Office Outlook 2007 旁边的框,然后单击“下一步”和“完成”。这样就创建了与 Outlook RemoteApp 的连接。
.png)
图 3 为 RDSH 服务器配置 RDG 设置。
下一步是标识面向 Internet 的客户端将用来进行连接的 RDG 服务器。单击“RD 网关设置”旁边的“更改”后将出现一个对话框,类似于图 3。在该屏幕中,您可以输入 RDG 服务器的服务器名称以及登录方法。此时请注意,已选中一个复选框。第一个复选框将启用一种单一登录,用户仅输入一次登录 RDG 和 RDSH 的凭据。第二个复选框允许 LAN 上的用户通过 RDG 进行连接,而不是强制性的。由于基于 LAN 的用户不需要 RDG 的额外保护,这使他们可以直接连接到 RDSH。选中这两个复选框,然后单击“确定”以完成此配置。
此简单示例的最后一步是创建一个连接文件,用户可通过双击该文件自动连接到 Outlook。要创建该文件,请单击一次 Outlook RemoteApp,再单击“创建 .rdp 文件”,然后在出现的向导中单击“下一步”和“完成”。.rdp 文件将在文件夹 C:\Program Files\Packaged Programs 中创建并可分发给用户。您的用户只需双击该文件,然后输入其凭据,即可通过 Internet 连接到 Outlook。
其他通知。其他证书。
当完成这些步骤并第一次连接到托管的 Outlook 应用程序时,您在双击 Outlook .rdp 文件后将显示一则通知(参见图 4)。该通知不属于技术错误,尽管它的出现经常使用户感到困惑。该通知表示在执行 .rdp 文件之前,由远程桌面客户端对其进行身份验证的额外验证。与以前一样,通过使用证书签署该 .rdp 文件来启用此身份验证,该证书可能与安装 RDG 时使用的证书相同。
.png)
图 4 远程桌面客户端的最终通知,要求在各个 RDSH 服务器上安装其他公用 SSL 证书。
要消除此错误消息,请将 RDG 的证书安装到 RDSH 服务器上的本地计算机的个人存储中,然后导航回服务器管理器中的 RemoteApp 管理器。在该管理器中,单击“数字签名设置”旁边的“更改”。在出现的窗口中,选中标记为“使用数字证书签名”的框,然后单击“更改”按钮。如果该证书已正确安装到本地计算机的个人存储中,则将显示该证书供您选择。最后,重新创建 Outlook .rdp 文件。
完成该步骤后,通知将由警告变为一个问题,询问“您信任此 RemoteApp 程序的发布者吗?”如果用户认同,可以单击“连接”按钮以继续或选中指示计算机不再对他们进行询问的框。
掌握上述简单内容,您就可通过 Internet 访问内部 Outlook。很显然,RDS 提供了更强大的选项集,用于配置和进一步保护环境安全。但是,此简单示例作为参考,有助于对小型环境部署普遍以及安全的应用程序访问。
Greg Shields 是一位 MVP,也是 Concentrated Technology 的合伙人。要了解 Shields 的更多门门精通提示和技巧,请访问 ConcentratedTech.com 。