用終端服務安裝軟件

引言：終端服務除了常規的遠控操作外，還提供了程序虛擬化功能，讓客戶端運行安裝在終端服務器上的軟件，省去了在客戶端安裝軟件的繁瑣。利用終端服務提供的程序虛擬化功能，可以讓這些主機用戶毫不費力地運行之前無法運行的軟件。

在眾多的遠程控制軟件中，終端服務是大家都非常熟悉的。其實，終端服務還提供了程序虛擬化功能，可以讓客戶端用戶運行安裝到終端服務器上的軟件，省去了在客戶端上安裝軟件的繁瑣?，F在的軟件體積越來越大，在局域網中一些配置較低的主機，運行這些大軟件，顯得比較吃力。利用終端服務提供的程序虛擬化功能，可以讓這些主機用戶毫不費力地運行之前無法運行的軟件。

圖1 執行程序發布操作

發布RemoteAPP虛擬程序

在安裝了終端服務的Windows Server 2008主機上，運行TS RemoteAPP管理器程序。在主界面（如圖1）中的“RemoteApp程序”列表中的右鍵菜單上，點擊“添加Remote App程序”項，在向導界面點擊“下一步”，顯示本機安裝的所有程序，選擇（可多選）目標程序，在下一步窗口中顯示選擇的所有程序，點擊“完成”按鈕，完成指定程序的發布操作。

為了讓客戶端可以操作這些程序，需要創建對應的RDP文件，即將發布的應用程序信息封裝為RDP格式的文件。該文件是桌面虛擬化應用的遠程鏈接文件，客戶端運行該RDP文件，就可以對發布的程序進行遠程操作。當然，應用程序實際上是在終端服務器上運行的。

用常規方式訪問虛擬程序

在上述“RemoteApp程序”列表中選擇目標程序，在“其他發布選項”區域點擊“創建.rdp文件”項，在向導界面（如圖2）中點擊“下一步”，點擊“瀏覽”，設置RDP文件存儲路徑。依次點擊下面的“更改”按鈕，可以設置終端服務器名稱和端口、TS網關、安全證書等信息。點擊“完成”按鈕，生成所需的RDP文件。該RDP文件體積很小，傳輸起來很方便。

當在服務器端發布了應用程序后，在客戶端可以采用多種方式進行訪問。最簡單的就是運行RDP文件，在彈出的RemoteApp窗口中點擊“連接”按鈕，在Windows安全窗口中顯示默認的連接賬戶名，輸入密碼后，點擊“確定”按鈕，就可以遠程運行該程序了。當然，也可以點擊“使用其他賬戶”項時，輸入別的連接賬戶名和密碼，來遠程執行程序。

安裝Web訪問組件

我們還可以使用Web方式來訪問遠程程序，即使用IE等瀏覽器連接終端服務器，這需要服務器端安裝有Web訪問組件。方法是，在服務器上打開服務器管理器，在窗口左側選擇“角色”項，在窗口右側點擊“添加角色”鏈接。在向導窗口中選擇“遠程桌面服務”項，在下一步窗口中“遠程桌面網關”和“遠程桌面Web訪問”項，在下一步窗口中選擇“需要使用網絡級別身份驗證”項，可以提高連接的安全性。點擊“下一步”按鈕，可以使用SSL加密模式來保護數據傳輸的安全性。

圖2 創建RDP文件

對于在企業內部創建CA根目錄服務器，創建Active Directory環境來說，適合選擇“為SSL加密選擇現有證書”項。對于小規模網絡，可以選擇“為SSL加密創建自簽名證書”項。在下一步窗口中選擇“現在”，表示立即創建授權策略。選擇“以后”項，可以在終端服務器管理控制臺創建授權策略。在下一步窗口中可以添加所需的域賬戶或者組，并將其添加到本地的Remote Desktop Users組中，允許其訪問該RD會話主機。

配置RD網關授權策略

按照提示執行重啟系統后，繼續執行以上配置動作。完成后打開遠程桌面網關管理器，在其控制臺左側選擇“主機名→策略→連接授權策略”項，在其右鍵菜單上點擊“新建策略→向導”項，在向導界面彈出窗口中選擇“創建RD CAP和RD RAP”項，表示同時創建終端服務連接授權策略和管理終端服務資源授權策略。點擊“下一步”按鈕，輸入連接授權策略的名稱。在下一步窗口中選擇“密碼”項，表示使用密碼安全認證機制。在“用戶組成員身份”欄中點擊“添加組”按鈕，在彈出窗口中搜索并選擇所需的用戶組，將其導入進來。

點擊“下一步”按鈕，選擇“啟用所有客戶端設備的設備重定向”項，可以將客戶端的磁盤，打印機等設備重定向到被控端。在下一步窗口中勾選“啟用空閑超時”項，可以設置合適的時間值。這樣，在遠程連接建立后，如果空閑的時間超過該值。就會自動斷開會話。勾選“啟用會話超時”項，設置合適的時間值。這樣，當連接會話的時間到達該值后，可以采取另外的處理方法，一種是斷開會話連接，一種是斷開連接后自動執行驗證和重新授權。

依次點擊“下一步”按鈕，在創建RD RAP窗口中輸入資源授權策略名稱。在下一步窗口中添加和選擇對應的用戶組，使其可以通過RD網關連接到目標內網資源。點擊“下一步”按鈕，在選擇網絡資源窗口中選擇允許訪問的資源，可以選擇Active Directory域服務網絡資源組、RD網關服務器場成員列表等。這里選擇“允許用戶連接到任意網絡資源（計算機）”項，表示允許連接者訪問內網中的所有主機。在下一步窗口中選擇允許的TCP端口，默認為TCP 3389端口。也可以選擇“允許通過以下端口連接”項，設置別的端口，讓連接者通過該端口遠程連接網絡資源。

在下一步窗口中點擊“完成”按鈕，完成終端策略的創建操作。在客戶端打開瀏覽器，在地址欄中輸入訪問地址（例如“https：//終端服務器地址/rdweb”），在認證窗口中輸入對應的賬戶名和密碼的，點擊“確定”按鈕，按照提示安裝基于RD Web訪問所需的ActiveX插件。在連接選項界面中的“連接到”欄中輸入服務器IP，在“遠程桌面大小”列表中選擇桌面尺寸。點擊“選項”按鈕，可以設置更多的連接項目。點擊“連接”按鈕，選擇所需的設備和資源項目。點擊“確定”按鈕，賬戶名和密碼信息，就可以在瀏覽器中遙控終端服務器了。

圖3 訪問RD Web虛擬程序

用Web方式訪問虛擬程序

安裝好了Web訪問組件，就可以在客戶端以Web方式訪問遠程應用程序了。在客戶端瀏覽器地址欄中輸入訪問地址（例如“https：//終端服務器地址/rdweb”），輸入擁有合適權限的賬戶名和密碼，登錄到終端服務控制界面中（如圖3）。

在其中的“RemoteApp程序”頁面中顯示已經發布的所有應用程序，點擊目標程序，在RemoteApp窗口中顯示發行者、類型、遠程計算機等信息，在“允許遠程計算機訪問我的計算機的以下資源項”欄中顯示驅動器、剪切板、打印機、串行端口、支持的即插即用設備等設備。您可以根據需要，選擇對應的資源項目。

這樣，客戶機就可以使用這些資源了，例如當執行打印操作時，可以在本地打印機上打印等。點擊“連接”按鈕，在“輸入您的憑證”窗口中輸入對應的賬戶名和密碼，點擊“確定”按鈕，就可以遠程操作該程序了。例如當遠程操作Word 2010等軟件時，在執行保存操作時，可以將文件保存到遠程主機上，或者保存到本地硬盤或者優盤上。當然，默認打開或者保存的位置位于終端服務器上。使用RDP文件和Web訪問方式，其優點是客戶端只能訪問已經發布的程序，對于沒有發布的程序，是無法進行操作的，其安全性比較高。當然，客戶端也可以運行“mstsc.exe”程序。來連接到終端服務器上，執行發布的程序。不過該方式的安全性較低，例如，當用戶登錄后可以隨意執行別的程序，或者更改系統的配置信息等。

通過RD網關遠程登錄服務器

如果配置了RD網關，客戶端可以通過遠程桌面連接程序，經由RD網關遠程管理服務器。運行“mstsc.exe”程序，在遠程桌面連接窗口中點擊“顯示選項”項，在“高級”面板中的“如果服務器身份驗證失敗”列表中選擇“顯示警告”項。點擊“設置”按鈕，在設置界面中選擇“使用這些RD網關服務器設置”項，輸入RD網關服務器的域名，注意不是IP地址。否則的話將無法正常連接，系統會提示服務器地址與證書使用者名稱匹配等信息。因此，客戶端主機必須可以正確解析該域名。

如果是局域網環境，可以直接執行驗證操作。所以可以選擇“不對本地地址的RD網關服務器”項，如果RD網關服務器與內網中受保護的終端服務器的密碼相同，可以選中“將我的RD網關憑據用于遠程計算機”單選框，如果不同則無需選擇該項。保存設置后，在遠程桌面連接窗口中“常規”面板中輸入終端服務器的IP或者名稱。注意，RD網關服務器和終端服務器是有區別的，終端服務器可以隱藏在RD網關服務器的后面。RD網關服務器可以在Internet上擁有獨立的域名，而終端服務器只是內網主機，只擁有內網地址，RD網關服務器可以同時擁有外網和內網地址。

終端服務器可能有多臺，用戶只需更改連接的IP即可，而連接參數中的RD網關的域名是不能更改的。例如RD網關域名為“rdp.xxx.com”，而內網終端服務器的IP為“192.168.1.100”等。點擊“連接”按鈕后，在輸入憑證窗口中輸入服務器上的對應賬戶名和密碼，該賬戶必須在預設的允許連接遠程桌面的賬戶列表中。點擊“確定”按鈕，在“網關服務器憑據”窗口中輸入具有連接終端服務器的域用戶名和密碼，當通過RD網關的身份認證后，就可以安全地連接到服務器的遠程桌面環境中，對其進行遠程控制了。

為網關服務器配置數字證書

注意，這里使用的HTTPS訪問方式，為了順利實現訪問，可以在服務器端配置證書。例如，可以在域控制器上安裝Active Directory證書服務，并向其申請證書。也可以向Internet上的專業證書頒發機構申請證書。關于數字證書的獲得，可以用多種方法實現。例如，使用上面提到的自簽名證書功能，就可以輕松達到目的。點擊“開始→所有程序→管理工具→遠程桌面服務→遠程桌面網關服務器”項，在打開窗口左側選擇本地服務器，在右側窗口中的“操作”欄中點擊“屬性”項，在RD網關屬性窗口中的“SSL證書”面板中選擇“創建自簽名證書”項，點擊“創建并導入證書”按鈕，在彈出窗口中的“證書名稱”欄中輸入名稱，這需要和RD網關服務器的FQDN全名一致，例如“drp.xxx.com”作為證書名稱。

勾選“存儲根證書”項，點擊“瀏覽”按鈕，選擇證書文件存儲位置。點擊“確定”按鈕，完成證書文件的創建操作。之后根據提示信息，重啟RD網關服務器。當重啟之后，在IE地址欄中輸入網關域名（例如“https：//rdp.xxx.com”），來查看該證書是否已經生效。之后，就可以在遠程桌面環境中對RD網關服務器和客戶機之間的通訊進行加密，并且在遠程桌面RDP-TCP連接之間也啟用加密功能。在Windows Server 2008中可以創建證書服務器，可以滿足證書的發布、申請、安裝、創建等操作。Windows Server 2008支持應用于企業內部的證書服務器和用于Internet的獨立證書服務器。

前者應用于域環境，需要活動目錄的支持，用戶可以直接向證書服務器申請并安裝證書。后者應用于非域環境，可以安裝到任何一臺獨立的服務器上，當用戶向證書服務器申請證書時，必須經由管理員檢查后辦法才可以頒發使用。在部署了證書服務器后，服務器的名稱和域名均不可更改，但是可以更改IP地址。以安裝企業CA為例，在服務器管理窗口中運行“添加角色向導”程序，在角色選擇列表中選擇“Active Directory證 書服務”項，在向導界面中點擊“下一步”按鈕，在選擇角色服務中如果選擇“證書頒發結構Web注冊”項，可以啟用證書Web注冊功能。其余設置保持默認即可，依次點擊“下一步”按鈕，最后點擊“完成”按鈕，完成證書服務器的創建操作。

在RD網關服務器上運行“mmc”程序，在控制臺界面中點擊“Ctrl+M”鍵，在彈出窗口中點擊“添加”按鈕，在彈出窗口中選擇“證書”項，點擊“下一步”按鈕，保存配置后返回控制臺界面，在窗口左側選擇“證書→個人”項，在右鍵菜單上點擊“所有任務→申請新證書”項，打開證書注冊界面。當然，在操作之前必須保證網絡狀況良好，RD網關服務器已經加入域。在下一步窗口中選擇“Active Directory 注冊策略”項，在下一步窗口中勾選“計算機”項，點擊“注冊”按鈕，完成證書的申請操作。

這樣，在上述創建網關服務器時，在“選擇SSL加密的服務器身份驗證證書”窗口中就可以點擊“導入”按鈕，導入上述申請的證書了。因為如果選擇自簽名證書，可能會遇到一個麻煩，就是客戶機并不信任自簽名證書的頒發機構，我們還需要手工為客戶機設置受信任的證書頒發機構。因此在實際網絡環境下，最好還是在企業內部署一個CA服務器。

當然，您也可以向Internet上的專業證書頒發機構，來申請為遠程桌面RD網關申請證書，步驟是首先下載CA根證書，之后將證書導入受信任的證書辦法機構。接著申請服務器身份驗證證書，申請遠程桌面RD網關對外公布的名稱，例如“prd.xxx.com”。并選擇“標記密鑰為導出”項。獲得所需證書后，需要將其導出并導出私鑰信息。這樣，在上述創建網關服務器時，就可以導入該證書文件了。之后在RD網關服務器的屬性窗口中打開“SSL證書”面板，選擇“將證書導入RD網關證書/個人存儲”項，點擊“瀏覽并導入證書”按鈕，導入上述證書文件。