萬能技客
如何擴充您的應用程式和資料 to…everywhere!
Greg Shields
當您離開清除所有煙霧和鏡像時的每個 IT 專業人員 ’s 工作核心是真的蠻 cut-and-dried。 我喜歡使用的任務完成陳述式是: 核心執行任務的 IT 是建立、 管理並確保安全地存取商務應用程式和資料。 其餘的項目 — 「 修補,疑難排解,服務台支援 — 所有都支援該核心任務完成的活動。 您要以中大型企業的 IT 專業人員或 jack-of-all-trades 小型企業中執行這些應用程式及他們的資料保存 ’re 安全是什麼最終會保留下來薪資。
’s 為什麼技術像 Microsoft ’s 遠端桌面服務 (RDS) 是針對滿足該任務智慧解決方案。 使用 RDS,它便成為輕而易舉的事是建立作用廣泛且安全的應用程式的存取權的任何地方的網路連線。
雖然 RDS ’s 前置終端機服務長時間已經用於定位周圍區域網路的應用程式存取方案,只從 Windows Server 2008 後有產品成熟可能會使網際網路為基礎的存取。 什麼就 ’s 今天有關 RDS 特別吸引人是其容易實作。 您可以使用極少的投入比或之前的經驗,擴充您的應用程式和所有地方在網際網路上的資料。 所有您需要都是兩個伺服器、 SSL 憑證和幾個快速入門的按滑鼠。
您需要什麼
以發行的 Windows Server 2008 R2 Microsoft ’s 前者終端機服務] 方案已重新命名的遠端桌面服務。 這個新的名稱會反映為裝載 RDS ’s 展開的角色虛擬桌面的解決方案,以及裝載 作為其傳統角色應用程式 方案。 則現在可能使用相同的 RDS 來連線到一組應用程式或整個虛擬桌面的使用者。 我離開裝載虛擬桌面設定為較新的資料行 ; 我想告訴您這裡連接至使用者可以會的簡單方式裝載應用程式。
若要快速入門需要兩部伺服器。 其中一部伺服器必須將 outfitted 與大量處理器及記憶體資源 (確切我留給您判斷的量)。 這個 beefier 伺服器將會是遠端桌面工作階段主機 (RDSH) 伺服器。 在其上將會安裝您想要讓使用者可以使用應用程式。 像這類它必須以足夠的資源,以支援多個同時的使用者執行這些應用程式建置。
在本文 ’s 簡單範例應用程式裝載在網際網路上就是 Microsoft Outlook 2007。 因為經常啟動 Outlook 2007 中的附件需要 Microsoft Office 協助,將會安裝整個 Office 套件。 請注意雖然安裝整個套件只 Outlook 將會直接可供使用者使用。
第二部伺服器可以大幅降低強大。 此伺服器將作為您的遠端桌面閘道 (RDG) 伺服器,因此作為一種網際網路為基礎的 「 外部 」 連線與 「 內部 」 RDSH 伺服器之間的 Proxy。 因為這個第二部伺服器會處理閘道函式,其資源組態能大幅縮小。
如您準備 RDG 伺服器,知道您將會要求您網際網路和 RDG 伺服器之間的防火牆上開啟一個單一連接埠。 開啟 443/TCP 可以讓外部用戶端連線到 RDG 伺服器。 RDG 伺服器將操作做為保護閘道的傳遞安全 RDSH 用戶端 (通常上 3389/TCP) 資料傳輸 (請參閱 圖 1).
圖 1RDG 伺服器做為網際網路用戶端和遠端桌面工作階段主機之間的保護閘道的運作方式。
第三個需要的項目是以是您的閘道伺服器,該伺服器的特別網際網路存取完整格式網域名稱的主旨名稱的 SSL 憑證。 雖然您可以建立這類憑證免費使用 Microsoft ’s 內建憑證服務您找到的花費 $ 30/年或等公開憑證從受信任的提供者大幅降低您的部署的複雜性。 在這個範例使用的憑證會連結到名為 server1.contoso.com 伺服器。
安裝遠端桌面工作階段主機
第一個步驟中擴充到網際網路的應用程式具有與應用程式完全無關。 由於為 RDS 變更 Windows 伺服器的作業環境的方式,建議 RDSH 被之前的任何應用程式安裝。 因此,開始全新安裝的 Windows Server 2008 R2 \\server2 上新增遠端桌面服務角色與遠端桌面工作階段主機角色服務。
如果是您第一次安裝的 RDS 這您還需要安裝 [遠端桌面授權服務同時也雖然本文 won’t 進入設定此元件的詳細資料。 如需詳細資訊請參閱 https://technet.microsoft.com/library/dd983943 (WS.10).aspx.
四個重要的組態是 RDSH 安裝的必要部分:
- 驗證方法。 網路層級驗證 (NLA) 可以改善您的 RDSH 伺服器的使用者驗證的安全性,但支援僅由 Windows XP SP3,Windows Vista 和 Windows 7 安裝與版本 6.0 或更新的 「 遠端桌面用戶端的用戶端。 如果您的用戶端符合這些需求,就最好使用的設定,以啟用 NLA。
- 授權模式。 基於授權的兩個方法可能有,並且都是完全依賴 RDS 用戶端存取授權 (CAL 為此實作購買) 的型別。 每個裝置 CAL 連結到個別的裝置,但可以使用的任何數目的使用者。 每個使用者 CAL 連結給使用者,但可在任何裝置上使用。 如果是,您還 haven’t 購買 CAL 的評估環境這您可以選擇設定此資訊稍後。 授權必須設定在 120 天之內或 RDS 將不再接受連接。
- 使用者群組。 這裡,設定使用者或群組,就可以透過網際網路連接到這個 RDSH 伺服器的存取。
- 用戶端經驗。 這個最後的設定會啟用或停用特殊的用戶端功能 RDSH 伺服器上,特別音訊和視訊播放,音訊錄製重新導向和 Aero Windows 使用者介面項目。 每個這些功能會增加必須在工作階段期間用戶端和伺服器之間傳遞的資料量因此只有啟用這些功能如果您的實作需要它們。
之後沒有回答這些問題,RDSH 將會安裝到 \\server2。 時,完成下一步是安裝 Microsoft Office 套件。 要注意安裝到 RDSH 伺服器的應用程式需要的典型安裝都不需要的額外步驟。 若要安裝 Office 或任何應用程式,請先瀏覽至 [控制台] 項目標題為 [遠端桌面伺服器上安裝應用程式]。 現在輸入 Office ’s 安裝檔案的路徑,並允許這個控制台應用程式內執行安裝。
透過這個機制,必須先安裝到 RDSH 伺服器安裝的所有軟體。 而且,留意某些應用程式可能需要安裝到 RDSH 特殊組態。 Microsoft 所提供的免費 RDS 應用程式分析工具在 https://connect.microsoft.com/tsappcomp 以協助您瞭解這些特殊的安裝需求。
安裝遠端桌面閘道
您的遠端桌面工作階段主機安裝完成時,您可以透過遠端桌面通訊閘網際網路式用戶端啟用它。 在此處理程序中的第一個步驟是 \\server1 來安裝您購買的 SSL 憑證。 雖然實際的取得此憑證的程序取決於發行者,憑證必須安裝到本機電腦 ’s 個人存放區 (相對於目前的使用者 ’s 個人存放區) 成為可用由 RDG。
圖 2為 RDG 設定憑證。
使用安裝正確的憑證下, 一步是安裝遠端桌面服務角色到 \\server1,但這次使用遠端桌面通訊閘角色服務。 所示圖 2,雖然這個安裝組態顯示更複雜,比以 [RDSH 仍然只有四需要注意:
- 伺服器驗證憑證。 如果您正確安裝 SSL 憑證至本機電腦 ’s 個人存放區,您看到在 方塊中列出該憑證圖 2.
- RD 閘道使用者群組。 在這個位置中識別的群組允許連線到透過此 RDG 伺服器的內部資源。
- RD 端點。 遠端桌面連線授權原則識別哪些機制用於驗證 RD 閘道伺服器的使用者。 這可以透過輸入一個密碼使用智慧卡或兩者皆是。 這個簡單的範例將使用只密碼來驗證使用者。
- RD RAP。 遠端桌面資源授權原則識別哪些內部資源可以透過 [RDG 輸入的使用者能被存取。 這裡您可以識別一群電腦 (或網路上所有的電腦) 的存取。 在這個範例中的電腦群組會限制成只 RDSH 伺服器 \\server2。
按一下完成剩餘的精靈中步驟完成安裝,並且會在 RDG 準備供使用。 在此時 [RDG 會開始接受註定 RDSH 伺服器的連線。
設定 Outlook RemoteApp
對於許多 JOAT 系統管理員中,這是令人困惑的一部份的開始處。 在此處理程序中的下一個步驟實際上是 RDSH 伺服器在回來完成。 那里,您將建立 Microsoft Outlook RemoteApp 的組態。 在該組態您包含必要的資訊,讓外部用戶端可以附加至 RDG 伺服器透過網際網路。
瀏覽至 RemoteApp 管理員在 [伺服器管理員。 其連結上按一下滑鼠右鍵,再選取 [新增 RemoteApp 程式]。 產生精靈中勾選方塊旁邊,Microsoft Office Outlook 2007 在清單中的已安裝的應用程式然後再按一下 [下一步],完成時間]。 這會建立至 Outlook RemoteApp 連線。
圖 3正在設定 RDSH 伺服器的 RDG 設定。
下一步就是要找出 RDG 伺服器該面對網際網路的用戶端會使用 connection.� 按一下 [變更] 旁以 RD 閘道設定為以查看對話方塊類似於 圖 3. 此畫面提供位置,以讓您輸入伺服器名稱,如 RDG 伺服器,以及登入 method.� 這裡發現該一個核取方塊是已填滿的 in. 第一個讓一種的單一登入,與使用者輸入認證,一旦 RDG 和 RDSH.� 的第二個可讓使用者不必強制 RDG.� 因為 LAN 基礎使用者透過連接 LAN don�t 一定需要 RDG�s 額外防護措施,這可讓他們直接連接到 RDSH.� 檢查這兩個核取方塊並按一下 [確定] 以完成這項設定。
在此簡單範例中最後一個步驟是建立使用者可以按兩下自動連線到 Outlook 的連接檔案。 若要執行此動作按上 Outlook RemoteApp,然後按一下 [建立.rdp 檔案,然後下一步] 和 [經由產生精靈完成。 .rdp 檔案會建立 [C:\Program Files\Packaged 程式集] 資料夾中,而且可以遞送給使用者。 您的使用者需要只將連按兩下該檔案,然後輸入他們的認證連線到 Outlook 在網際網路上。
另一個通知]。 另一個憑證。
當您完成這些步驟,進行裝載 Outlook 應用程式的第一個連線,看到請注意,連按兩下 [Outlook.rdp 檔案後出現 (請參閱 圖 4). 此通知不是技術上一個錯誤,雖然其出席資訊通常會造成混淆的使用者。 通知代表由遠端桌面用戶端,以驗證.rdp 檔案來執行它之前的額外驗證。 為前,此驗證為啟用。 簽章.rdp 檔案以憑證可以是相同一個用於安裝 [RDG
圖 4遠端桌面用戶端 ’s 最終注意事項,這需要在每個 RDSH 伺服器上的額外公用 SSL 憑證。
以消除錯誤訊息、 RDG ’s 憑證安裝到本機電腦 ’s RDSH] 伺服器上的個人存放區,然後瀏覽回至 RemoteApp 管理員在 [伺服器管理員。 那里,按 「 變更 」 旁邊,數位簽章設定]。 在 [結果] 視窗核取方塊以數位認證標示登],然後按一下 [變更] 按鈕。 如果您正確憑證安裝到本機電腦 ’s 個人存放區,便會出現憑證] 選取項目的。 最後,重新建立 Outlook.rdp 檔案。
完成這個步驟之明從警告變更為一個現在會詢問 「 待辦事項您信任此 RemoteApp 程式發行者? 」 的問題 如果使用者同意,他們可以按一下 [連接] 按鈕,以繼續,或核取方塊指示電腦無法再問。
所以,在您有那里它: 內部 Outlook 2000 的文字或更少的網際網路存取。 很明顯地,RDS 到達的設定和進一步保護環境選項大幅更大的集合。 但是,這個簡單的範例將會幫助您向作用廣泛且安全的應用程式存取到道路下啟動的小型環境。
Greg Shields MVP 是在集中技術協力電腦。 取得多個盾 ’ Geek 的全部-交易祕訣和絕招在 ConcentratedTech.com .