Windows Server 2012 R2 远程桌面服务部署指南
©著作权归作者所有:来自51CTO博客作者mabofeng的原创作品,请联系作者获取转载授权,否则将追究法律责任
01-Windows Server 2012 R2 远程桌面服务部署指南
文章来源:https://blog.51cto.com/mabofeng/1316095摘抄文章是为了以防链接失效或者文章丢失,若原文作者引起反感可以随时删除。
作者:马博峰
对于大部分的IT部门来说,服务器虚拟化并不是的IT首要挑战,而是越来越庞大的企业个人办公环境。企业内部的用户都希望能从任何位置,使用自己惯用的任何设备访问企业应用与数据。然而无论通过 LAN或者是WAN连接,无论所用设备的显示能力如何,他们都希望能获得熟悉、一致、丰富、流畅的桌面与应用程序体验。此时企业需要的是高效率的VDI方案,VDI桌面虚拟化的优势在于运算集中在服务器端,将所有桌面虚拟机在数据中心进行托管并统一管理;同时用户能够获得完整PC的使用体验。简单的来说,虚拟桌面或应用是指:支持企业级实现桌面系统和应用系统的远程动态访问与数据中心统一托管的技术。一个形象的类比,就是今天,我们可以通过任何设备、在任何地点,任何时间访问在网络上的我们的邮件系统,或者网盘;而未来我们可以通过任何设备,在任何地点,任何时间访问在网络上的属于我们个人的桌面系统和应用系统。
随着最新的Windows Server 2012 R2在2013年10月发布,微软使得针对不同设备部署与交付虚拟桌面资源的过程更简单,更具成本效益。Windows Server 2012 R2 中的 VDI 技术能让用户用几乎任何设备,用更简单,保真度更高的方式访问数据中心内托管的 Windows 环境。通过 Hyper-V 与远程桌面服务(RDS),微软通过一套解决方案提供了三种灵活的 VDI 部署选项:池化桌面、个人桌面,以及远程桌面会话(原先的终端服务)。同样在 Windows Server 2012 R2 中,IT管理者将获得一套完整的 VDI 工具集,借此可让用户通过各种流行的设备从几乎任何地点用灵活的方式访问数据与应用,同时可维持安全性与合规性。
一、远程桌面服务简介
远程桌面服务(以前称为“终端服务”)是 Windows Server 2012 R2 中的一个服务器角色,它提供的技术可让用户访问在远程桌面会话主机(RD 会话主机)服务器上安装的各种 Windows 程序,或者访问完整的 Windows 桌面。使用远程桌面服务,用户可以从公司网络内部或 Internet 访问 RD 会话主机服务器。当用户访问 RD 会话主机服务器上的程序时,该程序将在服务器上运行。每个用户只能看到他们自己的会话。该会话由服务器操作系统透明地管理,独立于任何其他客户端会话。此外,可以配置远程桌面服务,以便使用 Hyper-V为用户分配虚拟机,或让远程桌面服务在用户连接时动态地为用户分配可用虚拟机。远程桌面服务支持在企业环境中高效地部署和维护软件。可以轻松地从中央位置部署程序。由于将程序安装在RD会话主机服务器而不是客户端计算机上,因此升级和维护程序将更加简单。
二、远程桌面服务角色组成
远程桌面服务是一种服务器角色,由多个角色服务组成。在 Windows Server 2008 R2 中,远程桌面服务包含以下角色服务:
1、RD 会话主机:远程桌面会话主机(RD 会话主机),以前称为终端服务器,支持服务器承载基于 Windows 的程序或完整的 Windows 桌面。用户可连接到 RD 会话主机服务器来运行程序、保存文件,以及使用该服务器上的网络资源。
2、RD Web 访问:远程桌面 Web 访问(RD Web 访问),以前称为 TS Web 访问,支持用户通过运行 Windows 8.1的计算机上的“开始”菜单或通过 Web 浏览器访问 RemoteApp 和桌面连接。RemoteApp 和桌面连接为用户提供了一个自定义的 RemoteApp 程序和虚拟机视图。
3、RD 授权:远程桌面授权(RD 授权),以前称为TS授权,管理每个设备或用户连接到 RD 会话主机服务器所需的远程桌面服务客户端访问许可 (RDS CAL)。您可使用 RD授权在远程桌面许可证服务器上安装和发布 RDSCAL,并跟踪其可用性。
4、RD 网关:远程桌面网关(RD 网关),以前称为TS网关,使授权的远程用户能够从任何联网设备连接到内部企业网络上的资源。
5、RD 连接代理:远程桌面连接代理(RD连接代理),以前称为TS会话代理,支持负载平衡RD会话主机服务器场中的会话负载平衡和会话重连。还可使用 RD 连接代理并通过 RemoteApp 和桌面连接让用户访问RemoteApp程序和虚拟机。
6、RD 虚拟化主机:远程桌面虚拟化主机(RD 虚拟化主机)与 Hyper-V 集成,以承载虚拟机并以虚拟机的形式将它们提供给用户。您可以为您组织中的每个用户分配一个唯一虚拟机,或者为他们提供对一个虚拟机池的共享访问。
三、远程桌面服务的部署方式
远程桌面服务部署方式包括“基于虚拟机基础结构(VDI)部署”和“基于会话虚拟化部署”。 基于虚拟机基础结构(VDI)部署是需要主机中具有Hyper-V功能,在 Windows Server 2012 R2中,远程桌面服务包括高效配置和管理虚拟机的新方式。用户可以通过远程桌面协议 (RDP) 访问Hyper-V中的虚拟机。
基于会话的虚拟化部署(Remote App)无需主机中具有Hyper-V功能,在 Windows Server 2012 中,远程桌面服务中的会话虚拟化部署包括高效配置和管理基于会话的桌面的新方式。在早期版本的远程桌面服务中,RD 会话主机服务器的现行管理在每服务器级别执行。通过使用会话虚拟化部署方案,支持集中式管理和安装。
四、设置远程桌面服务域环境
1、使用windows Server 2012 R2 配置AD-DC为域控制器
无论是采用什么部署方式,都需要设置基础结构,在企业环境中准备远程桌面服务环境,必须完成安装和配置域控制器 (AD-DC),使用 Windows Server 2012 R2 配置域控制器 AD-DC,配置步骤如下:
步骤1、全新安装Windows Server 2012 R2,并配置域控计算机名称为AD-DC。
步骤2、配置 TCP/IP 属性,使 AD-DC 具有 IPv4 静态 IP 地址 192.168.1.100。使用 AD-DC\Administrator 帐户登录到 AD-DC,依次单击「开始」、“控制面板”、“网络和 Internet”、“网络和共享中心”、“更改适配器设置”,右键单击“本地连接”,然后单击“属性”。在“网络”选项卡上,单击“Internet 协议版本 4 (TCP/IPv4)”,然后单击“属性”。单击“使用下面的 IP 地址”。在“IP 地址”框中,键入192.168.1.100。在“子网掩码”框中,键入 255.255.255.0,然后单击“确定”。在“网络”选项卡上,单击“确定”,然后关闭“本地连接属性”对话框。
2、在AD-DC服务器中添加Active Directory域服务角色+DNS服务器
注意1:因为AD域服务属于服务器功能,所以要求windows server机器的服务中开启 “Server”服务,并设置为自动。
注意2:有的公司在Windows基线模版,手动在防火墙的里添加了:禁止TCP135、139、445“入站规则”:;和禁止UDP 137、138端口的“入站规则、出站规则”,此目的是防止SMB文件传输和打印共享攻击。记得去防火墙处删除禁止的“入站规则、出站规则”,才能正常加域。
单击「服务器管理器」,然后单击“管理”。在“管理”框中,选择添加角色和功能,然后在开始之前界面中,点击“下一步”,在安装类型页面中,选择“基于角色或者基于功能的安装”点击下一步,在服务器选择页面中,选择“从服务器池中选择服务器”,默认为本机,然后点击下一步。在服务器角色页面中,勾选“Active Directory 域服务”和“DNS服务器”,点击下一步。直到安装工作结束。
3、将AD-DC服务器提升为域控制器
步骤1、打开“运行”。在“运行”框中,键入 dcpromo,然后单击“确定”。在“Active Directory 域服务配置向导”部署配置页上,选择“添加新林”,在根域名中输入“mabofeng.com”然后单击“下一步”。
步骤2、在域控制器选项页面中,选择新林和根域的功能级别,都选择为Windows Server 2012 R2,并指定域控制器功能,勾选“域名系统(DNS)服务器”,最后输入目录服务还原模式(DSRM)密码,点击下一步。
步骤3、在“DNS选项”页面中,由于之前选择域控制器功能包括“域名系统(DNS)服务器”,所以在“DNS选项”页面中,无法创建该DNS服务器的委派,之后点击下一步。
步骤4、在“其他选项”页面中,确保为域分配了NetBIOS名称,并在必要是更改该名称,如果网络环境中有相同的NetBIOS名称,则需要重新更改NetBIOS名称,点击下一步。
步骤5、在“路径”界面中,指定AD DS数据库、日志文件和SYSVOL的位置,默认情况下是在C:\Windows\NTDS和C:\Windows\Sysvol中,可点击“…”进行更改,之后点击下一步。
步骤6、在“查看选项”界面中,查看新域名的设置,然后点击下一步。
步骤7、在“先决条件检查”页面中,西药验证先决条件后才能在此计算机上安装Active Diretory域服务,通过所有先决条件检测都通过后,点击“安装”开始安装。安装过程结束后需要重新启动,直到域控制器配置完成。
注:弹出选择框默认确定即可。
在"功能"界面保持默认设置,单击"下一步"按钮;进入"确认"部分,确认需要安装的组件,勾选"如果需要,自动重新启动目标服务器"复选框。
步骤8、升级为服务器:安装Active Directory域服务器后,需要将此服务器提升为域控制器。单击"将此服务器提升为域控制器"选项,如不慎关闭了此界面,可以打开"服务器管理器"界面进行操作,点击右上角的"!"按钮。
4、设置AD-DC域控制器用户和用户组
当完成域控制器的配置,接下来就是在域中创建用户帐户和组。首先,以域管理员帐户 (mabofeng\Administrator) 登录到 AD-DC中,单击「服务器管理器」,点击“管理”,然后单击“Active Directory 用户和计算机”。
步骤1、在控制台树中,展开 mabofeng.com。为了方便管理VDI用户和普通用户,我们在Active Directory 用户和计算机建立“VDI Group”的组织单位,然后在组织单位中建立相应的用户。
步骤2、以同样的方式,分别在VDI Group的组织单位中建立user01和user02。右键单击“VDI Group”,在右边窗口中点击右键,指向“新建”,然后单击“用户”
步骤3、在“新建对象 – 用户”对话框中,在“全名”和“用户登录名”中键入
User02,然后单击“下一步”。在“新建对象 - 用户”对话框中,键入在“密码”和“确认密码”框中选择的密码。清除“用户下次登录时须更改密码”复选框,并选择“密码永不过期”,单击“下一步”,然后单击“完成”。
步骤4、在Windows Server 2012 R2中,有5个与远程桌面有关的用户组,这几个用户组与远程桌面用户有很大的关系,这些关系为:
Remote Management Users: 此组的成员可以通过管理协议(例如,通过 Windows 远程管理服务实现的 WS-Management)访问 WMI 资源。这仅适用于授予用户访问权限的 WMI 命名空间。
Remote Desktop Users: 此组中的成员被授予远程登录的权限
RDS Remote Access Servers: 此组中的服务器使 RemoteApp 程序和个人虚拟桌面用户能够访问这些资源。在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 网关服务器和 RD Web 访问服务器需要位于此组中。
RDS Management Servers: 此组中的服务器可以在运行远程桌面服务的服务器上执行例程管理操作。需要将此组填充到远程桌面服务部署中的所有服务器上。必须将运行 RDS 中心管理服务的服务器包括到此组中。
RDS Endpoint Servers: 此组中的服务器运行虚拟机和主机会话,用户 RemoteApp 程序和个人虚拟桌面将在这些虚拟机和会话中运行。需要将此组填充到运行 RD 连接代理的服务器上。在部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要位于此组中。
步骤5、根据用户不同的需求,设置相应的用户隶属组。
建议添加权限:
远程桌面:Remote Desktop Users
RemoteApp:RDS Remote Access Servers
域控配置DNS转发
配置DNS转发,添加一个公网的DNS服务器,也可以是内网的DNS。