跨 Active Directory 域/林或工作组设置 RDS 许可的最佳做法
本文提供有关跨域、林或工作组设置远程桌面(RD)许可的可支持性(或推荐方法)的问题的信息。
适用于: Windows Server 2008 R2 Service Pack 1
原始 KB 数: 2473823
注意
在 Windows Server 2008 R2 中,终端服务重命名为远程桌面服务(RDS)。
问题
RD 许可服务器是否可以在以下任一条件下向连接到 RD 会话主机(终端服务器)服务器的用户或设备颁发客户端访问许可证(CAL) ?
- RD 会话主机服务器位于Active Directory 域中,RD 许可服务器位于工作组环境中。
- RD 会话主机服务器位于工作组中,RD 授权服务器位于Active Directory 域中。
- RD 会话主机服务器和 RD 许可服务器位于不同的林中。 这些林之间不存在信任(单向或双向信任)。
- RD 会话主机服务器和 RD 许可服务器位于同一个工作组中。
Answer
若要使每个设备和每用户 CAL 颁发都正常工作,以下三种配置中的任何一个中的 RD 会话主机和 RD 许可服务器:
- 同一工作组中的两者
- 同一域中的两者
- 两者都位于受信任的(双向信任)Active Directory 域或林中
下面是有关这些方案的详细信息:
RDS 主机和 RDS 许可服务器位于同一个工作组中
在工作组环境中配置 RDS 和 RDS 许可服务器时,请考虑以下几点:
- 我们可以在工作组环境中仅按设备 CAL 使用。 因此,应仅在 RDS 许可服务器上安装每个设备 CAL。
- 工作组模式不支持按用户 CAL 跟踪和报告。
- RDS 主机和 RDS 许可服务器角色都可以安装在同一服务器上。
- 如果在工作组中的其他服务器上安装 RDS 许可服务器,请确保 RDS 服务器能够访问 RDS 许可服务器。
在 Windows 2008 R2 中,RD 会话主机服务器不再支持自动许可证服务器发现。 必须使用远程桌面会话主机配置管理单元为 RD 会话主机服务器指定许可证服务器的名称。 有关详细信息,请参阅 为要使用的 RD 会话主机服务器指定许可证服务器。
RDS 主机和 RDS 许可服务器位于同一域中
在Active Directory 域方案中,我们可以在同一服务器或不同服务器上拥有 RDS 主机和 RDS 许可服务器。 在域方案中配置 RDS 环境时,请考虑以下几点:
可以在 RDS 许可服务器上同时安装(按设备和每用户)CAL。
许可证服务器的计算机帐户必须是 AD DS 中终端服务器许可证服务器组的成员。 如果许可证服务器安装在域控制器上,则网络服务帐户还必须是终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RDS 主机服务器添加到 RDS 许可服务器上的终端服务器计算机组中,然后在 RDS 许可服务器上启用许可证服务器安全组策略设置。
许可证服务器安全组策略设置位于计算机配置\策略\管理模板\Windows 组件\远程 \RD 许可中,可以使用本地组策略编辑器或组控制台(GPMC)进行配置。
RDS 主机服务器位于一个域/林中,RDS 许可服务器位于另一个域/林中
在这种情况下,应考虑以下几点:
这些域/林之间应存在双向信任。 它可以是林信任或外部信任。
所有必需的端口都应在防火墙上打开。 如果对需要打开的端口有任何疑问,请参阅 Windows 的服务概述和网络端口要求。
若要向其他域中的用户颁发 RDS Per User CAL,域之间必须有双向信任,并且许可证服务器必须是这些域中终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RDS 主机服务器添加到 RDS 许可服务器上的终端服务器计算机组中。
在每个域/林中的所有 RDS 主机服务器上配置 RDS 许可服务器。 可以通过 RDS 主机配置管理单元或通过组策略执行此操作。
在 RDS 许可服务器的本地管理员中添加每个域/林的管理员组。 这样,当你在受信任的域/林中打开 RDS 主机配置管理单元时,你不会收到输入凭据的提示。
数据收集
如果需要Microsoft支持方面的帮助,建议按照使用 TSS 收集信息中的 步骤收集用户体验问题来收集信息。