基于RemoteApp 技術的信息化系統設計與實現

◆郭木陽

（廈門技師學院 福建 361102）

隨著互聯網+的廣泛應用和企業的信息交流多樣化，對信息化業務應用系統提出了更高的應用需求。本文通過對微軟虛擬桌面服務組件RemoteApp 技術的研究，將企業各類信息化系統均衡負載到服務器，提高設備資源的利用率和管理效率，同時方便企業員工能夠攜帶自己的設備隨時隨地進行信息化事務處理。

1 企業信息化系統現狀分析與建設目標

1.1 存在的問題

許多企業都部署了各種類型的信息化系統，供在各地分公司、連鎖機構或是出差員工、在家辦公員工訪問內部網絡資源，但在部署、維護、用戶使用的過程中存在著以下系列問題：

（1）部署維護成本高。隨著企業信息化交流多樣化，需要部署使用各類信息化業務應用系統（如ERP、OA、進銷存、財務等），相應增加了服務器等硬件設備數量，造成設備的投入和管理的成本增加。

（2）客戶端管理維護麻煩。各類信息化業務應用系統大多需要在用戶設備中安裝客戶端，安裝維護更新較為麻煩。

（3）安全性相對差。各類信息化系統直接將服務端口發布到Ⅰnternet，供給遠程的客戶端或WEB 瀏覽器接入，同時也將服務器暴露在外網，容易受到攻擊。

1.2 系統建設目標

針對存在的問題，建設一個低部署及運維成本、簡單易用、高效安全的基于RemoteApp 技術的信息化系統。

（1）降低部署運維成本。將單臺物理服務器托管到電信機房，減少機房建設與維護管理費用；并使用虛擬化技術將各類信息化系統整合到多臺虛擬服務器中，實現對設備資源的高效利用及維護管理，降低部署及維護成本。

（2）方便用戶使用。用戶能夠攜帶自己的設備（個人計算機、手機、平板電腦等），在任何時間、地點通過Ⅰnternet 登錄虛擬桌面，處理企業內部信息化相關業務。

（3）高效安全。通過虛擬化對信息化業務應用系統客戶端統一部署，集中管理。采用網絡級身份驗證，只有允許的用戶設備才能進行連接，驗證身份要求后才能訪問對應的權限的資源。

2 RemoteApp 虛擬化技術介紹

RemoteApp 技術是一項應用廣泛、成熟的微軟展示層虛擬化技術，RemoteApp 結合遠程桌面Web 訪問、遠程桌面授權、遠程桌面網關等微軟遠程桌面服務角色，可以使用戶遠程訪問程序。RemoteApp 程序與用戶端的桌面集成一起，用戶端無須安裝應用程序，就能在本地設備上運行遠端服務器發布的各種應用。

2.1 基于RemoteApp 技術遠程桌面虛擬化系統特點：

（1）用戶不需整個遠程桌面系統，就可以在自己的設備打開運行在RD 會話主機（遠程服務器）上發布到RemoteApp 中的程序（信息化系統客戶端）；而且用戶端設備只是顯示程序運行的窗口，程序就像運行在本地設備一樣。

（2）管理員可以將基于Windows 的程序或信息化系統客戶端直接部署在RD 會話主機服務器上并發布成RemoteApp 程序，用戶即可使用且無須安裝維護程序（客戶端）。

2.2 RemoteApp 組件服務結構

在Windows Server 2016 中，RemoteApp 組件與微軟虛擬桌面服務角色的聯系如圖1 所示。

圖1 微軟虛擬桌面服務角色及聯系圖

（1）用戶端。在用戶端，用戶可以從不同類型個人終端設備通過使用Web 瀏覽器登錄“RD Web 訪問”或使用“RemoteAPP 和桌面連接”訪問RemoteApp 程序。用戶端僅僅是鍵盤、鼠標及屏幕信息的傳遞，寬帶占用極少，就如同在本地運行程序一樣。

（2）RD 網關：RD 網關封裝了基于HTTPS 的RDP，使得用戶不用建立VPN 連接,授權的Ⅰnternet 用戶也可以與內部網絡的RD服務器建立SSL 連接。

（3）RD Web 訪問：RD Web 訪問使用戶端運行RD 會話主機上的RemoteApp 的程序，除了可以通過Web 瀏覽器訪問，還是可以通過運行“RemoteApp 和桌面連接”訪問。

（4）RD 授權：RD 授權負責管理用戶、設備與RD 服務器連接的遠程桌面服務客戶端訪問許可（RDS CAL），當用戶端連接RD會話主機時，RD 會話主機代表用戶端向RD 授權服務器請求RDS CAL，用戶端只有獲得適合的RDS CAL，該用戶端才能連接到RD會話主機。

（5）網絡級身份驗證：網絡級身份驗證避免非法連接或惡意軟件的攻擊，提高了安全性。當用戶與RD 會話主機建立連接前，先驗證用戶端設備是否安裝并信任根證書，再通過域控制器驗證用戶的身份；如果驗證通過，客戶端還得獲取RD 授權服務器適合的RDS CAL，才能使用在該域內相應的用戶組具有的訪問權限及資源。

（6）RD 連接代理：RD 連接代理負責均勻分配連接到RD 會話主機中的會話負載和支持會話的重新連接。

（7）RD 會話主機：在RD 會話主機中將基于Windows 的程序（企業信息化業務應用系統的客戶端）發布成RemoteApp 應用程序，并提供給遠程用戶運行或保存文件等。

3 基于RemoteApp 的信息化系統設計部署

3.1 基于RemoteApp 的信息化系統概述

根據上述建設目標，在微軟Hyper-V 虛擬化服務器集群基礎上部署信息化業務應用系統，應用微軟RemoteApp 技術將信息化業務應用系統客戶端發布成RemoteApp 程序，用戶遠程訪問RD 會話主機發布的RemoteApp 程序，就如在本地設備運行信息化系統客戶端一樣。該方案的系統拓撲結構，如圖2 所示。

圖2 系統拓撲結構圖

該方案使用單臺2U 機架式物理機作為Hyper-V 主機，并配置遠程管理。配置磁盤RAⅠD 時劃分兩個邏輯卷，第一個卷安裝Windows Server 2016 并添加Hyper-V 組件,作為Hyper-V 主機；第二個卷保存數據（如在Hyper-V 主機中創建的虛擬機或其他數據）。系統的前端是采用硬件防火墻（路由器），一是通過路由器進行端口映射遠程管理物理機，二是通過防火墻發布RD Web 訪問站點。

3.2 安全授權服務部署

VM1 主要做如下兩項安全授權服務部署：

（1）主域控制器服務：用來創建管理用戶和用戶組、設定內部資源分配權限，用戶身份認證；同時要求將Hyper-V 主機、RD主機等虛擬機加入Active Directory 中進行管理。

（2）RD 授權服務：添加基于角色的安裝，選擇VM1 作為RD授權服務器，添加遠程桌面會話主機服務器角色。

VM2 主要做如下兩項安全授權服務部署：

（1）輔助域控制器服務：一旦主域控制器出現故障，則接管活動目錄的工作，保證用戶能正常登錄和訪問資源。

（2）CA 證書服務：安裝標準證書服務，為用戶端頒發安全加密證書，保證用戶端與RD 服務器之間的建立SSL 連接通信。

3.3 基于會話的部署

VM3（rd.xxx.com）是在Windows Server 2016 上部署RD Web訪問、RD 連接代理、RD 會話主機等基于會話服務角色，同時也部署企業信息化系統客戶端。圍繞微軟遠程桌面各角色組成關系做如下部署：

（1）添加RD 授權主機：指定VM1 作為RD 授權服務器。

（2）配置RD 網關服務器：將用戶端訪問RD 會話主機的域名rd.xxx.com 添加到RD 網關中，并命名自簽名SSL 證書。

（3）配置證書下載服務：從證書服務器（VM2）中申請一個“服務器證書”供用戶端下載安裝和信任，滿足用戶端能夠通過SSL 連接與RD 會話主機通信。

（4）配置部署：配置RD 網關，指定登錄服務和登錄方法；配置RD 授權角色，使得RD 會話主機能夠向VM1（授權服務器）發送驗證用戶訪問授權請求；配置RD Web 訪問，指定RD Web 訪問及用戶登錄RD 會話主機的URL（https://rd.xxx.com/rdweb）等。確認RD 連接代理、RD Web 訪問、RD 網關等角色服務受信任所申請的證書，以滿足服務器身份驗證、單一登錄和建立SSL 連接。

（5）創建會話集：添加具有訪問權限域用戶組到該會話集，并指定用戶配置文件磁盤，實現不同用戶組訪問不同的會話集。

（6）發布RemoteApp 應用程序：將RD 會話主機中已安裝企業信息化業務系統客戶端（如ⅠE、進銷存、ERP 等客戶端）或“遠程桌面連接”添加到會話集中。

3.4 配置遠程訪問

用戶端從Ⅰnternet 連接RD Web 訪問站點，還需要復查RD 網關SSL 證書及使用SSL 橋接；并在防火墻中發布Ⅰnternet 上的用戶端對RD 會話主機的SSL RD Web 訪問站點，將URL 轉發到內部網絡的RD 會話主機中。

3.4 用戶連接遠程桌面

初次訪問RD 會話主機的用戶或設備，必須登錄RD 會話主機（https://rd.xxx.com/ca）下載并信任根證書。對于不同類型的用戶端設備系統，用戶訪問企業內部信息化系統，主要有兩種方式：

（1）非windows 系統用戶端。只能使用瀏覽器登錄站點https://rd.xxx.com/rdweb 訪問發布的RemoteApp 應用程序。

（2）windows 系統用戶端。除了可以使用瀏覽器登錄站點外，還可以通過“RemoteApp 和桌面連接”，連接到RD 連接代理服務，訪問發布的RemoteApp 程序。

用戶端通過Ⅰnternet 連接到RD 會話主機，訪問發布的

RemoteApp 程序（企業信息化系統客戶端），RD 會話主機上運行的企業信息化業務系統客戶端程序窗口會顯示在用戶使用的設備屏幕上，用戶使用鍵盤、鼠標即可根據屏幕顯示的進行信息化系統辦公，就如同信息化系統客戶端程序運行在用戶端設備一樣。

4 結語

本文應用RemoteApp 技術對信息化業務應用系統客戶端軟件進行虛擬化設計部署，并將企業信息化業務應用系統部署在虛擬機上進行統一管理，降低了設備購置和維護成本，提高了系統的管理效率以及安全性，方便用戶使用個人設備隨時隨地連接到企業內部網絡處理信息化事務。