RDS服務(wù)的組成角色

RDS最核心的角色是RD虛擬化主機(jī)和RD會(huì)話主機(jī)。對(duì)于前者來說，主要實(shí)現(xiàn)虛擬桌面服務(wù)，對(duì)于后者來說，主要實(shí)現(xiàn)應(yīng)用程序虛擬化。當(dāng)提供了后臺(tái)核心服務(wù)后，就需要使用RD連接代理來管理用戶訪問進(jìn)程。例如，當(dāng)使用多臺(tái)服務(wù)器部署了會(huì)話主機(jī)池，在其中提供了多個(gè)虛擬程序，當(dāng)客戶端訪問目標(biāo)虛擬程序時(shí)，會(huì)隨機(jī)連接到某臺(tái)會(huì)話主機(jī)上。當(dāng)該客戶端因?yàn)槟承┰虍惓Ｖ袛嘣L問，再次進(jìn)行連接時(shí)，RD連接代理可以自動(dòng)幫助恢復(fù)之前失去的連接。RD Web訪問角色為用戶提供了訪問接口，RD網(wǎng)關(guān)可以將RDS服務(wù)發(fā)布到Internet上，RD授權(quán)負(fù)責(zé)授權(quán)管理。打開服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→概述”項(xiàng)，可以清晰地看到RDS服務(wù)的組成角色（如圖 1）。

圖1 RDS服務(wù)的組成角色

執(zhí)行標(biāo)準(zhǔn)部署操作

這里就先以在公網(wǎng)上發(fā)布Remote APP為例進(jìn)行說明，在企業(yè)內(nèi)網(wǎng)中存在名為Rserer1的服務(wù)器，作為RD會(huì)話主機(jī)， IP為192.168.1.10。 名 為Rserver2的服務(wù)器為連接代理， IP為192.168.1.20。名 為Rserver3的 服 務(wù)器 作 為RD Web主 機(jī)， IP為192.168.1.30。 名 為“Rdgate”的主機(jī)作為RD網(wǎng)關(guān)服務(wù)器， IP為192.168.1.31。這些主機(jī)都加入到域環(huán)境，DC的 IP為192.168.1.2，并安裝了CA角色。

在域中任意主機(jī)（例如“Rserver1”）上 打開 服務(wù)器管理器，在“所有服務(wù)器”項(xiàng)的右鍵菜單上點(diǎn)擊“添加服務(wù)器”，在“Active Directory”面板中的“名稱”欄中輸入“rserver”，找到并導(dǎo) 入 Rserver2、Rserver3、rdgate主機(jī)添加進(jìn)來。之后點(diǎn)擊菜單“管理→添加角色和功能”項(xiàng)，可以針對(duì)該服務(wù)器組進(jìn)行操作。

在向?qū)Ы缑嬷羞x擇“遠(yuǎn)程桌面服務(wù)安裝”，點(diǎn)擊下一步，選擇“標(biāo)準(zhǔn)部署→基于會(huì)話的桌面部署”，在下一步窗口中按照提示，依次設(shè)置Rserver2主機(jī)作為連接代理服務(wù)器，Rserver3主機(jī)為RD Web訪問服務(wù)器，Rserver1主機(jī)為RD會(huì)話主機(jī)。選擇“需要時(shí)自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”項(xiàng)，點(diǎn)擊部署按鈕，執(zhí)行具體的部署操作。

創(chuàng)建和管理RemoteAPP程序

在服務(wù)器管理器左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→概述”項(xiàng)，點(diǎn)擊“創(chuàng)建會(huì)話集合”，在向?qū)Ы缑嬷休斎爰系拿Q（例如“APP_Pool”），之后選擇名為Rserver1的會(huì)話主機(jī)，在下一步窗口中設(shè)置用戶組，即哪些用戶可以訪問該集合，默認(rèn)為所有的域賬戶。之后設(shè)置用戶配置文件路徑和容量，點(diǎn)擊創(chuàng)建按鈕，創(chuàng)建該集合。有了集合之后，就可以向其中添加應(yīng)用程序。在左側(cè)選擇“集合→APP_Pool”，在“RemoteApp程序”列表右側(cè)點(diǎn)擊“任務(wù)→發(fā)布RemoteApp程序”項(xiàng)，選擇單個(gè)或者多個(gè)目標(biāo)程序，將其發(fā)布出去。

當(dāng)用戶訪問“https://rserver3.xxx.com/reweb”網(wǎng)址，因?yàn)闆]有配置證書，所以會(huì)顯示“此網(wǎng)站的安裝證書存在問題”的警告，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站”項(xiàng)，輸入合適的域賬戶名和密碼，在“RemoteApp和桌面”欄中雙擊目標(biāo)程序，點(diǎn)擊“連接”，就可以運(yùn)行該程序。對(duì)于域中的主機(jī)來說，即使不進(jìn)行任何配置，因?yàn)槭艿接蚣軜?gòu)的信任，可以實(shí)現(xiàn)SSO單點(diǎn)身份驗(yàn)證功能，即輸入域賬戶名和密碼，就可以順利訪問RD會(huì)話主機(jī)。但是，工作組中的客戶端不受域架構(gòu)信任，訪問RD會(huì)話主機(jī)時(shí)，需要在RDWeb主機(jī)上進(jìn)行身份驗(yàn)證，還要到RD代理主機(jī)上進(jìn)行身份驗(yàn)證。

提交多域名證書申請(qǐng)

為了針對(duì)RD連接代理實(shí)現(xiàn)SSO單一登錄功能，同時(shí)為了實(shí)現(xiàn)安全訪問RDS服務(wù)，就需要使用證書加以應(yīng)對(duì)。為了提高證書的使用效率，可以將RD Web、RD代理服務(wù)、RD網(wǎng)關(guān)等主機(jī)的多個(gè)域名綁定到單張證書上，實(shí)現(xiàn)多域名證書功能。在域中任意主機(jī)（例如Rserver1）上運(yùn)行“gpupdate /force”命令，使其信任CA證書頒發(fā)機(jī)構(gòu)。運(yùn)行“mmc”程序，在控制臺(tái)中點(diǎn)擊“文件→添加/刪除管理單元”項(xiàng)，選擇“證書”，點(diǎn)擊“添加”，選擇“計(jì)算機(jī)賬戶”將其導(dǎo)入。

在控制臺(tái)左側(cè)選擇“證書→高級(jí)操作→創(chuàng)建自定義請(qǐng)求→Active Directory注冊(cè)策略→下一步”按鈕，在自定義請(qǐng)求窗口中的“模板”列表中選擇“Web服務(wù)器”，在下一步窗口中選擇“Web服務(wù)器”，在詳細(xì)信息欄中點(diǎn)擊“屬性”，在打開窗口中的“使用者”面板中的“使用者名稱”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入合適的名稱，例如“app.xxx.com”。點(diǎn)擊“添加”將其添加到列表中。在“類型”列表中選擇“DNS”項(xiàng)，在“值”欄中分別輸入并添加以上域名，例如rserver1.xxx.com，rserver3.xxx.com，rdgate.xxx.com等。在“常規(guī)”面板中輸入名稱，在“私鑰”面板中的“密鑰選項(xiàng)”欄中選擇“使私鑰可以導(dǎo)出”和“允許私鑰存檔”項(xiàng)：點(diǎn)擊確定按鈕保存配置。在下一步窗口中點(diǎn)擊瀏覽按鈕，導(dǎo)出后綴為“.req”的請(qǐng)求文件。

下載多域名證書

點(diǎn)擊完成按鈕，返回控制臺(tái)。使用記事本打開上述請(qǐng)求文件，復(fù)制內(nèi)容，在瀏覽器中訪問“https://192.168.1.2/certsrv”，在彈出頁面中點(diǎn)擊“申請(qǐng)證書→高級(jí)證書申請(qǐng)”鏈接，點(diǎn)擊“使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書，或使用base64編碼的PKCS#7續(xù)訂證書申請(qǐng)”鏈接，在“保存的申請(qǐng)”欄中粘貼申請(qǐng)文件內(nèi)容，在“證書模板”列表中選擇所需的模板，例如Web服務(wù)器。點(diǎn)擊“提交”按鈕，在證書已頒發(fā)頁面中點(diǎn)擊“下載證書”鏈接，將后綴為“.cer”的證書文件下載到本地。

在控制臺(tái)左側(cè)的“證書→個(gè)人”項(xiàng)的右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)入”，選擇上述證書文件，點(diǎn)擊完成將證書導(dǎo)入，該步驟其實(shí)就是讓公鑰和私鑰建立關(guān)聯(lián)。選擇“證書→個(gè)人”，在右側(cè)選擇導(dǎo)入的證書，在右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)出”項(xiàng)，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項(xiàng)，在安全窗口中選擇“密碼”項(xiàng)，輸入密碼后，將其導(dǎo)出為獨(dú)立的PFX文件，例如“zhengshu.pfx”。這樣，就取得了包含多域名的證書。在Rserver3等主機(jī)上執(zhí) 行“gupdate /force”命令，使其信任根證書頒發(fā)機(jī)構(gòu)。如果從公網(wǎng)CA頒發(fā)機(jī)構(gòu)獲取的證書，無需執(zhí)行該操作。

導(dǎo)入多域名證書

在Rserver1上打開服務(wù)器管理器，在左側(cè)選擇“遠(yuǎn)程桌面服務(wù)→集合”，在右上角點(diǎn)擊“任務(wù)→編輯部署屬性”項(xiàng)，在部署屬性窗口左側(cè)點(diǎn)擊“證書”項(xiàng)，在管理證書窗口中的“角色服務(wù)”列表中選擇“RD Web訪問”項(xiàng)，點(diǎn)擊“選擇現(xiàn)有的證書→瀏覽”，選擇上述“zhengshu.pfx”文件，輸入對(duì)應(yīng)的密碼，選擇“允許向目標(biāo)計(jì)算機(jī)上受信任的根證書頒發(fā)機(jī)構(gòu)證書存儲(chǔ)中添加證書”項(xiàng)，將該證書導(dǎo)入到本地。點(diǎn)擊“確定”保存配置，返回上一級(jí)窗口點(diǎn)擊應(yīng)用按鈕，可以看到RD Web訪問的狀態(tài)顯示為“成功”，表示證書配置完成。按照同樣的方法，分別選擇“RD連接代理-啟用單一登錄”和“RD連接代理-正在發(fā)布”角色，分別配置證書。

當(dāng)在客戶端訪問“https://rserver3.xxx.com/reweb” 網(wǎng) 址 的 話，就會(huì)發(fā)現(xiàn)關(guān)于證書的警告消失了。對(duì)于工作組客戶端來說，需要訪問“http://192.168.1.2/certsrv”網(wǎng)址，依次點(diǎn)擊“下載CA證書、證書鏈或CRL”和“下載CA證書”鏈接，下載后綴為“.cer”的證書。在該證書文件的右鍵菜單上點(diǎn)擊“安裝”項(xiàng)，在向?qū)Ы缑嬷羞x擇“將所有的證書放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊瀏覽按鈕選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)。點(diǎn)擊下一步完成證書的安裝操作。之后就可以順利訪問RD Web服務(wù)器。當(dāng)工作組中的客戶端訪問時(shí)，因?yàn)榫哂辛薙SO認(rèn)證功能，可以避免多次身份驗(yàn)證的繁瑣。

發(fā)布RDS服務(wù)，從公網(wǎng)上訪問虛擬程序

如果希望將RDS服務(wù)發(fā)布到Internet上，必須依靠RD網(wǎng)關(guān)的支持。在上述概述窗口中選擇“RD網(wǎng)關(guān)”，在選擇服務(wù)器窗口中選擇“rdgate”服務(wù)器，將其添加進(jìn)來。點(diǎn)擊下一步，在“SSL證書名稱”欄中輸入FQDN名稱，例如“rdgate.xxx.ocm”。點(diǎn)擊“添加”即可在名為RDgate的主機(jī)上安裝RD網(wǎng)關(guān)角色。之后在上述部署屬性窗口左側(cè)選擇“證書”，在右側(cè)的“角色服務(wù)”列表中選擇“RD網(wǎng)關(guān)”，點(diǎn)擊“選擇已有的證書”按鈕，按照上述方法配置證書。

RD網(wǎng)關(guān)實(shí)際上充當(dāng)反向代理的作用，當(dāng)外網(wǎng)用戶通過防火墻訪問內(nèi)網(wǎng)中的RD Web主機(jī)時(shí)，RD Web主機(jī)返回操作頁面給客戶端，客戶端再通過內(nèi)網(wǎng)中的RD網(wǎng)關(guān)訪問所需資源。RD網(wǎng)關(guān)的重要作用還在于可以屏蔽內(nèi)網(wǎng)中的服務(wù)器，讓RD會(huì)話主機(jī)之類的服務(wù)器無需面對(duì)公網(wǎng)用戶，大大提高了內(nèi)網(wǎng)的安全性。因?yàn)榭蛻舳撕蚏D Web以及RD網(wǎng)關(guān)之間都是通過TCP 443端口建立連接，因此需要在防火墻提供兩個(gè)IP，分別映射到RD Web主機(jī)和RD網(wǎng)關(guān)上。

配置簡(jiǎn)單的防火墻

這里為了便于說明，使用一臺(tái)Windows Server 2008服務(wù)器扮演防火墻角色，安裝路由和遠(yuǎn)程訪問服務(wù)，配置兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)，在外網(wǎng)連接上綁定兩個(gè)IP，例如100.61.199.1和100.61.199.2，分 別 對(duì)應(yīng)Rserver3.xxx.com和Rdgate.xxx.com域名。這兩個(gè)域名需要在公網(wǎng)上注冊(cè)，即客戶端可以從Internet上進(jìn)行解析。

在路由和遠(yuǎn)程訪問窗口左側(cè)選擇本機(jī)名，在右鍵菜單上點(diǎn)擊“配置并啟用路由和遠(yuǎn)程訪問”項(xiàng)，在向?qū)Ы缑嬷羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換”項(xiàng)，點(diǎn)擊下一步，選擇“使用此公共端口連接到Internet”項(xiàng)，在列表中選擇外部鏈接，點(diǎn)擊完成啟動(dòng)路由和遠(yuǎn)程訪問服務(wù)。在左側(cè)選擇“IPv4→NAT”，在右側(cè)選擇外部連接接口，在屬性窗口的“地址池”面板中點(diǎn)擊“添加”，輸入IP范圍為從100.61.199.1到100.61.199.2。

在“服務(wù)和端口”面板中點(diǎn)擊“添加”按鈕，在打開窗口中輸入服務(wù)的描述信息，選擇“在此地址池項(xiàng)”項(xiàng)，輸 入“100.61.199.1”，傳輸端口設(shè)置為443，專用地址為192.168.1.30，即RD Web主機(jī)的地址，傳輸端口為443，點(diǎn)擊確定就可以將“100.61.199.1”映射到RD Web主機(jī)上。同理，再添加一個(gè)服務(wù)，將“100.61.199.2”映射到RD網(wǎng)關(guān)主機(jī)上。

執(zhí)行訪問測(cè)試操作

為了便于測(cè)試，可以在客戶端上打開“C:WindowsSystem32Driversetc”目錄，編 輯 其 中 的“hosts”文 件，在 其 中 添 加“100.61.199.1 rserver3.xxx.com”，“100.61.199.2 rdgate.xxx.com” 兩 行，來進(jìn)行最簡(jiǎn)單的域名解析。這樣，當(dāng)外網(wǎng)用戶訪問“https://rserver3.xxx.com/reweb”網(wǎng)址，就可以訪問內(nèi)網(wǎng)中的RD Web服務(wù)器來使用RemoteApp程序。

實(shí)際上，當(dāng)使用遠(yuǎn)程桌面時(shí)，可以通過RD網(wǎng)關(guān)轉(zhuǎn)接，例如在客戶端運(yùn)行“mstsc.exe”程 序，在遠(yuǎn)程桌面連接窗口底部點(diǎn)擊“顯示選項(xiàng)”項(xiàng)，在“常規(guī)”面板中的“計(jì)算機(jī)”欄中輸入RD會(huì)話主機(jī)名，例如“rserver1.xxx.com”，在“高級(jí)”面板中點(diǎn)擊“設(shè)置”按鈕，在“連接設(shè)置”欄中選擇“使用這些RD網(wǎng)關(guān)服務(wù)器設(shè)置”項(xiàng)，輸入RD網(wǎng)關(guān)服務(wù)器名，例如Rdgate.xxx.com。在“登錄方法”列表中選擇“詢問密碼（NTLM）”項(xiàng)，點(diǎn)擊確定按鈕，就可以通過RD網(wǎng)關(guān)連接到目標(biāo)服務(wù)器上。這樣，就避免了將TCP 3389暴露在公網(wǎng)上，提高了安全性。