為遠程管理配置服務器

為了實現遠程管理功能，需要在中心服務器配置一臺服務器（或虛擬機），在虛擬機中安裝Windows Server 2008 R2、配置 RemoteApp并發 布“Active Directory用戶和計算機”供用戶使用。為了說明問題，我們以圖1所示拓撲為例，介紹Windows Server 2008 R2遠程桌面服務、發布服務器上的RemoteApp應用程序并讓Windows XP、Windows 7用戶使用的內容。其中，SER2是新配的服務器，SER1域控制器已經配置好，是系統中原有的Active Directory服務器。

說明：在當前示例中，服務器IP地址段為172.30.5.0，如果你也參考本應用，請用你單位實際的IP地址代替。

在SER2安裝遠程桌面服務

準備一臺服務器，安裝Windows Server 2008 R2，并加入到域控制器。首先介紹在Windows Server 2008 R2中安裝“遠程桌面服務”的內容。

1.在Windows Server 2008 R2中，修改計算機的名稱為WS08RDWEB，設置IP地址為172.30.5.27，并設置網關及DNS，之后加入到域。重新啟動計算機上，以域管理員賬戶登錄，打開“服務器管理器”，右擊“角色”，選擇“添加角色”。

2.在“選擇服務器角色”對話框，單擊并添加“遠程桌面服務”。在“選擇角色服務”對話框，添加“遠程桌面連接代理”之外的所有角色（如圖2）。

3.在“指定遠程桌面會話主機的身份驗證方法”對話框，選擇“不需要使用網絡級別身份驗證”，這樣運行Windows XP等操作系統的用戶也可以訪問Windows Server 2008 R2服務器提供的遠程桌面服務。

圖1 實驗拓撲

圖2 選擇角色服務

圖3 服務器身份驗證證書

4.在“指定授權模式”對話框，單擊“每用戶”單選框。選擇“每用戶”授權模式可以滿足當下大多數系統的需求。

5.在“選擇允許訪問此RD會話主機服務器的用戶組”，添加到本地“Remote Desktop Users”組的用戶，添加到該組的用戶可以訪問此RD會話主機服務器組。如果要允許所有用戶，可以添加“Everyone”或者添加“Users”。

6.在“配置客戶端體驗”對話框，配置是否在RD會話主機服務器上安裝“桌面體驗”功能。為了減輕服務器的負擔，可以不需要選擇這些功能。

7.在“選擇SSL加密的服務器身份驗證證書”對話框，單擊“為SSL加密創建自簽名證書”（如圖3）。創建自簽名的證書主要用于實驗或小規模的部署，如果在生產環境中，需要在網絡中自建證書服務器并申請證書。

8.在“為RD網關創建授權策略”對話框，選擇“現在”，在“選擇可以通過RD網關連接的用戶組”對話框，添加“Domain Users”組，這樣，所有的合法用戶都可以通過。

9.在“為RD網關創建RD CAP”對話框，創建一個RD CAP允許用戶連接，在此選擇默認值即可。

10.在“為RD網關創建RD RAP”對話框，創建一個RD RAP以指定用戶通過RD網關服務器可連接的網絡資源，在此選擇“允許用戶連接到網絡上的任何計算機”。

11.在“網絡策略和訪問服務”對話框，顯示“網絡策略和訪問服務簡介”。RD遠程桌面服務需要網絡策略服務器。

12.在“選擇角色服務”對話框，顯示要安裝的網絡策略和訪問服務的角色服務（如圖4），只安裝“網絡策略服務器”即可。

13.遠程桌面網關及遠程桌面Web訪問需要IIS的支持，所以需要安裝Web服務器。在“選擇角色服務”對話框，顯示了要安裝的IIS的角色，單擊“下一步”按鈕繼續。

14.在“確認安裝選擇”對話框，顯示了將要安裝的各種服務及角色，。檢查無誤之后，單擊“安裝”按鈕。之后開始安裝，在“安裝結果”對話框，顯示了安裝的結果，并提示需要重新啟動。

15.經過兩次重新啟動后，遠程桌面服務安裝完成。

遠程桌面授權

在安裝完“遠程桌面服務”之后，打開“管理工具→遠程桌面服務”程序組，可以看到每個配置程序（如圖5）。

圖4 角色服務

圖5 遠程桌面服務程序組

圖6 激活完成

在這里可以選擇相應的程序進行配置。首先介紹“遠程桌面授權”服務。

1.激活授權服務器

（1）打開“RD授權管理器”后，右擊服務器名稱，在彈出的快捷菜單中選擇“激活服務器”。RD授權服務必須激活才能使用。

（2）在“連接方法”對話框，選擇最合適的方法進行激活。如果當前服務器能連接Internet，選擇“自動連接（推薦）”是最好的選擇。如果當前服務器不能連接Internet或者不能連接Microsoft的激活服務器，可以采用電話激活的方式。

（3）在“公司信息”對話框，選擇“國家”或地區，并輸入公司及個人信息，這里每一項都是必需的。

（4）之后的“公司信息”則是可選信息，可以根據情況選擇是否輸入。

（5）之后開始連接Internet并自動激活（如圖6）。激活授權服務器是免費的。

2. 安裝許可證

在激活授權服務器之后，還需要安裝許可證。在Windows Server 2008 R2中的許可證包括“每用戶”、“每設備”許可證兩種，對于大多數情況下，“每用戶”許可證可以滿足要求。安裝許可證需要從Microsoft購買License，并且購買的許可證只能在一臺服務器上激活。

（1）可以右擊服務器，選擇“安裝許可證”進入向導。在“許可證計劃”對話框中，選擇合適的許可證計劃，通常情況下，通過零售購買的許可證只能激活一次，并且每個許可證有數量的限制。

（2）在“許可證代碼”對話框中，輸入零售購買的許可證。如果有多個許可證，可以多次添加，最后許可證的數量是可以累加的。

（3）之后開始安裝許可證，直到安裝完成。

（4）安裝許可證之后如圖7所示，顯示了許可證的數量及限制。

遠程桌面會話主機配置

在激活授權服務器并安裝許可證之后，需要在“遠程桌面會話主機配置”中，添加授權服務器，步驟如下。

1.在“遠程桌面服務”組中執行“遠程桌面會話主機配置”程序，在“授權”選項組中雙擊“遠程桌面授權服務器”，當前顯示為“未指定”。

2.在“屬性”對話框中，在“授權”選項卡中，單擊“添加”按鈕，在“添加許可證服務器”對話框中，添加己知的許可證服務器，本示例為WS08RDWEB。之后，單擊“確定”按鈕，完成授權服務器的添加。

圖7 許可證數量

圖8 Active Directory管理中心

圖9 添加RemoteApp程序

在RD會話主機安裝遠程服務器管理工具

接下來在RD會話主機安裝應用程序，在主機上安裝的應用程序可以發布為RemoteApp應用程序供用戶使用。在此安裝“遠程服務器管理工具”。

1.打開“服務器管理器”，右擊“功能”，選擇“添加功能”，在“選擇功能”中，依次展開“遠程服務器管理工具→角色管理工具→AD DS和AD LDS工 具”，添 加“Active Directory管理中心”（如圖 8）。

2.在“確認安裝選擇”對話框，單擊“安裝”按鈕。之后根據提示完成安裝。

3.安 裝“Active Directory管理中心”之后，在“管理工具”中才有“Active Directory用戶和計算機”管理工具。

RemoteApp應用程序

在RD會話主機安裝了應用程序之后，就可以將安裝的應用程序發布出來，主要步驟如下。

1.在“管理工具 →遠程桌面服務”中打開“RemoteApp管理器”，在右側的“操作”列表中單擊“添加RemoteApp程序”（如圖9）。

2.在“RemoteApp向 導→選擇要添加到RemoteApp程序列表的程序”中，在“名稱”列表中，會顯示當前安裝在主機上的應用程序，可以在此選擇。

3.對于列表中沒有而又確實安裝在當前主機的程序，例如“Active Directory用戶和計算機”，可以點擊“瀏覽”按鈕，在彈出的“選擇程序”對話框中，在“文件名”中輸入：

%System Root%system32dsa.msc

然后單擊“打開”按鈕。添加之后如圖10所示。

4.在“復查設置”對話框，單擊“完成”按鈕，完成添加。

將發布的RemoteApp程序創建成RDP文件

在Windows Server 2008 R2中，還可以將RemoteApp應用程序發布成RDP文件，或為其創建Windows Installer程序包，這兩種方式都可以簡化用戶使用RemoteApp程序的方式。但在Windows Server 2012中已經取消了這兩個功能。

首先介紹將RemoteApp應用程序創建RDP文件并為創建的RDP文件創建網站、并允許用戶瀏覽下載的方法與步驟。

1.在“RemoteApp管 理器”中，在“RemoteApp程序”中選擇要創建成RDP文件的程序，在“其他分發選項”選項組中單擊“創建.rdp文件”鏈接。

圖10 瀏覽添加程序

圖11 委派控制

2.在“指定程序包設置”對話框中，在“輸入要保存程序包的位置”處，瀏覽選擇保存rdp程序包的位置，通常為其設置一個新的、空白文件夾，例如c: dweb。

3.在“復查設置”對話框，單擊“完成”按鈕。

4.之后打開發布的程序包位置，顯示創建完成的rdp文件，將這些文件包通過FTP、Web、電子郵件發給用戶，用戶雙擊就可以訪問對應的RemoteApp應用程序。

在域控制器上委派域用戶

在域控制器上為每個地市“委派”權限，為每個地市指定一到多域管理員，指定的用戶具有在自己所屬區域（組織單位，OU）具有創建用戶、修改域用戶密碼的權限。

1.右擊指定的組織單位，以“信息中心”為例，如圖11所示。右擊，在彈出的快捷菜單中選擇“委派控制”。

2.在“歡迎使用委派向導”對話框單擊“下一步”按鈕，在“用戶或組”對話框中，添加用于委派的域用戶，通常是指定的部門管理人員賬戶。

3.在“要委派的任務”對話框，選擇要委派的任務，在本示例中選擇“創建、刪除和管理用戶賬戶”和“重置用戶密碼并強制在下次登錄時更改密碼”。

4.在“完成控制委派向導”對話框中，單擊“完成”按鈕。

經過上述設置，中心節點服務器端配置完成，各地區管理員就可以使用發布的RemoteApp應用程序管理自己地區的域賬戶。下面介紹各地區管理員使用篇，分別以Windows XP及Windows 7為例進行介紹。