远端桌面技术问答.doc

Windows Server 2023 R2 遠端桌面技術問答TOP 6 顧武雄 遠 端桌面服務是在企業IT虛擬化建設中的一項重要解決方案，也是目前全球最多企業IT的共同選擇。想要快速上手並為公司網路部署絕佳的遠端桌面服務存取經 驗，可參考本文所介紹的六大秘訣，涉及如何安裝遠端桌面服務、RDS網站如何採用SSL安全通道配置、如何管理遠端桌面服務應用程式、使用者如何存取 RDS網站應用程式、如何在Windows 7桌面開啟遠端應用程式，以及如何以Group Policy大量部署遠端應用程式。 企 業IT虛擬化的兩大應用是「虛擬機器（Virtual Machine）」與「遠端桌面服務」，兩者的共同效益都是可大幅减少IT的管理成本，因此許多的企業皆已陸續導入這兩種解決方案。Windows Server 2023 R2作業系統內建「遠端桌面服務（Remote Desktop Services，RDS）」，而它的前身便是「終端機服務（Terminal Services，TS）」。 以「遠端桌面服務」來說，它直接內建於Windows Server 2023 R2中（用戶端授權須另計），滿足使用者由裡到外連線存取應用程式的需求。此外，在基礎的安全性考量設計方面，除了提供網路層級的驗證（NLA）機制及結 合SSL加密通道的保護外，在進階的安全性整合應用上，還可以整合RSA的動態密碼驗證技術、智慧卡驗證以及網路存取保護（NAP）。 至於虛擬化解決方案，在部署上也相當容易，只要按部就班進行就可以輕鬆完毕。以下介紹如何快速完毕遠端桌面服務架構中的基礎建置。 TOP 1：如何安裝遠端桌面服務 想要安裝遠端桌面服務，先從「系統管理工具」選單中開啟「伺服器管理員」，然後如圖1所示在「角色」節點頁面內點選「新增角色」。 ▲圖1 伺服器管理員。 接著，在「選取伺服器角色」頁面內選取「遠端桌面服務」，然後按下〔下一步〕按鈕（圖2）。 ▲圖2 選取伺服器角色。 隨後在如圖3所示的「選取角色服務」頁面內，就會列出遠端桌面服務下所細分的六大功能服務，其用途分別說明如下： ·遠端桌面工作階段主機：想要提供RemoteApp與遠端桌面給一般使用者使用，此服務是必要的基礎安裝。 ·遠端桌面虛擬主機：此服務整合Hyper-V伺服器角色，以便使用者能夠直接透過RemoteApp或桌面的連線來當作個人虛擬桌面或虛擬桌面集區的虛 擬機器，而使用者在從Active Directory中指派的個人虛擬桌面登入後所做的各種自訂功能都會儲存下來，並且能夠在下一次登入個人虛擬桌面時繼續使用。 ·遠端桌面授權：之前版本稱為「終端機服務授權」，用以管理每一裝置或每一使用者合法授權的連線（RDS CAL），因此必須有一部主機負責擔任此服務角色。在尚未安裝與設定連線此服務之前，將有120天的使用期限。 ·遠端桌面連線代理人：之前版本稱之為「終端機服務工作階段代理人」，重要用途在重新導向以RemoteApp和桌面連線的使用者工作階段，因此它在擁有 多部遠端桌面工作階段主機的架構規劃中，若再搭配網路負載平衡（NLB）機制，這項功能將可有效滿足對於遠端桌面服務的高可用性需求。 ·遠端桌面閘道：假如想讓遠端使用者可以隨時在有提供遠端桌面連線（RDC）的用戶端裝置上，透過它連線登入到任一授權的內部遠端桌面電腦，必須在 DMZ（建議）網路中建置一部此服務主機。需要注意的是，在標準版的Windows Server 2023 R2中有250個同時連線的限制，而企業版與Datacenter沒有限制。此外，這項服務還可以進一步整合網路存取保護（NAP）的安全機制。 ·遠端桌面Web存取：若想讓使用者直接從瀏覽器連線存取RemoteApp與登入遠端桌面，那麼這項功能服務將是必要的選擇，選取之後，系統將會自動安裝IIS網站的相關必要元件，並且建立虛擬目錄。 ▲圖3 選取角色服務。 在接下來的操作講解中，只需要勾選「遠端桌面工作階段主機」與「遠端桌面Web存取」即可。接著，按下〔下一步〕按鈕繼續。 如圖4所示，在「指定遠端桌面工作階段主機的驗證方法」頁面中，決定是否使用更安全的「網路層級驗證」機制。 ▲圖4 設定驗證方法。 基本上，只要用戶端的作業系統是Windows Vista與Windows 7以上的版本都可直接支援，而使用Windows XP的用戶端，必須額外下載與安裝最新版本的遠端桌面連線（RDC）工具，工具下載位址如下所示。 Windows XP遠端桌面連線6.1下載網址： 接著按下〔下一步〕按鈕，繼續後面的設定。 如圖5所示，進入「指定授權模式」頁面後，假如已經預先準備好授權資訊及完毕遠端桌面授權服務主機安裝，便可以在此直接指定所購買的授權類型（依裝置或使用者而定）。假如還在測試階段，則點選「稍後再設定」選項。按下〔下一步〕按鈕繼續。 ▲圖5 指定授權模式。 來到「選取允許存取此RD工作階段主機伺服器的使用者群組」頁面，畫面中預設僅有Administrators群組的使用者可以存取遠端桌面服務。可以按 下〔新增〕按鈕加入其他使用者群組，建議預先建立好一個遠端桌面服務專屬的使用者群組以便於後續的管理。按下〔下一步〕按鈕繼續。 如圖6所示，在「設定用戶端體驗」頁面內可以讓連線的使用者工作階段體驗到類似Windows 7的功能，涉及「音訊與視訊撥放」、「音訊錄製重新導向」及「桌面轉譯緩衝處裡」。對於這些功能的啟用，系統會自動在此工作階段伺服器上安裝「桌面體驗」 功能。設定之後，按下〔下一步〕按鈕。 ▲圖6 設定用戶端體驗。 由於前面的遠端桌面服務項目中已勾選「遠端桌面Web存取」，因此接下來會如圖7所示切換至網頁伺服器的「角色服務」設定畫面，在此採用預設值即可，按下〔下一步〕按鈕繼續。 ▲圖7 網頁伺服器安裝設定。 最後進入「確認」頁面，確認前面的安裝選項設定皆無誤後按下〔安裝〕按鈕。 當整個遠端桌面服務相關的元件都安裝好了之後，會出現必須重新啟動電腦的訊息對話盒，直接按下〔是〕按鈕。重新開機並登入後，將自動開啟「安裝結果」頁面，按下〔關閉〕按鈕即可。 成功安裝遠端桌面服務後，在如圖8所示的「伺服器管理員」介面內將會顯示「RemoteApp 管理員」、「RD Session Host Configuration」、「遠端桌面服務管理員」三個節點頁面。這三個介面程式也可以在「系統管理工具」下拉選單中的「遠端桌面服務」內找到。 ▲圖8 遠端桌面服務。 若要安裝的遠端桌面服務持續運作，必須讓在「遠端桌面服務」節點頁面中的三大服務執行狀態始終處於「執行中」才行。 這三個服務分別是遠端桌面服務的核心「Remote Desktop Services」，以及影響遠端桌面服務網站存取的「IIS Admin Service」與「World Wide Web Publishing Service」。 由於前面操作中並沒有安裝與設定遠端桌面的授權組態，因此在開啟「遠端桌面工作階段主機設定」（RD Session Host Configuration）頁面時，將會如圖9所示出現授權模式與授權主機尚未設定的兩則警告訊息。 ▲圖9 授權診斷。 TOP 2：RDS網站如何採用SSL安全通道配置 為了確保從連線登入到登入之後的資料傳遞安全，必須自行配置遠端桌面服務網站的SSL安全機制。在進行接下來的操作之前，必須先確認網域內已經有建置CA憑證授權單位主機，以利申請與安裝伺服器憑證。 先從「系統管理工具」下拉選單中開啟「IIS網站管理員」介面，接著如圖10所示在伺服器節點頁面中連續點選「伺服器憑證」圖示。 ▲圖10 IIS網站管理員。 開啟如圖11所示的「伺服器憑證」頁面後，點選「動作」窗格內的「建立網域憑證」連結。 ▲圖11 伺服器憑證管理。 請注意！假如CA憑證授權單位主機並非建置在網域環境之下，而是以獨立的伺服器存在，必須改為點選「建立憑證规定」與「完毕憑證规定」的操作方式來申請與安裝憑證。 接著，如圖12所示在「分辨名稱屬性」頁面中設定「一般名稱」資訊，必須輸入將提供給用戶端使用者連線的完整網域名稱（FQDN），這個名稱在網路中也必須被解析到。繼續填寫其他欄位資訊，然後按下〔下一步〕按鈕。 ▲圖12 憑證資訊設定。 進入如圖13所示在「線上憑證授權單位」頁面，按下〔選取〕按鈕，將網域內的憑證伺服器選取進來，然後輸入一個好記的名稱並按下〔完毕〕按鈕。 ▲圖13 線上憑證授權單位設定。 申請伺服器憑證後，接著將這個憑證指派配置給遠端桌面服務的網站。先選取遠端桌面所屬的網站節點，然後如圖14所示點選「動作」窗格中的「繫結」連結。 ▲圖14 遠端桌面服務網站設定。 出現如圖15所示的「站台繫結」頁面，先點選「https」類型項目，然後按下〔編輯〕按鈕。若找不到「https」，則按下〔新增〕按鈕自行加入該類型項目。 ▲圖15 站台繫結。 跳出如圖16所示的「編輯站台繫結」頁面。從「SSL憑證」下拉選單中選擇前面申請到的憑證項目，然後按下〔確定〕按鈕即可。若想要確認該憑證的詳細資訊，則按下〔檢視〕按鈕。 ▲圖16 編輯站台繫結。 TOP 3：如何管理遠端桌面服務應用程式（RemoteApp） 透過應用程式發佈至遠端桌面服務的系統，使用者不僅可以透過傳統遠端桌面登入的方式進行存取，還可以透過RemoteApp方式來存取，讓使用者存取遠端應用程式時，就仿佛是在本機上執行一樣地方便。 開啟「伺服器管理員」介面，如圖17所示切換至「RemoteApp管理員」節點頁面，便可以針對整個遠端桌面服務上的遠端應用程式進行管理。但在此之前，必須先在此主機上安裝好準備發佈的應用程式，然後再回到此管理頁面。 ▲圖17 Remote管理員。 如圖18所示，在「控制台」頁面內開啟「在遠端桌面伺服器安裝應用程式」功能，這個特殊的安裝模式可確保應用程式在安裝過程中，會建立支援在多使用者環境中執行應用程式所需的正確登錄項目及相關的.ini檔案。 ▲圖18 控制台。 假如這些應用程式先前已經安裝好，建議先將它們一一移除，再透過此工具重新安裝，否則後續在多人存取的運作中，也许會出現無法預期的錯誤。 接著，開啟如圖19所示的遠端桌面安裝模式。假如安裝程式是在DVD光碟內，請將其放入光碟機中，然後按下〔下一步〕按鈕。 ▲圖19 安裝遠端桌面服務應用程式。 隨後進入「執行安裝程式」頁面，假如安裝程式是在原版DVD內，通常系統會自動偵測並完毕載入動作，假如是存放在其他路徑，則按下〔瀏覽〕按鈕來載入準備執行的安裝程式。指定好了之後按下〔下一步〕按鈕。 以Microsoft Office 2023為例，成功執行安裝程式之後，假如所輸入的產品金鑰並非大量授權的版本，將會出現如圖20所示的錯誤訊息而無法繼續。 ▲圖20 錯誤訊息。 相反地，假如成功安裝了指定的應用程式，在如圖21所示的頁面內，〔完毕〕按鈕將會呈現可點選的狀態。 ▲圖21 完毕安裝。 安裝好所需應用程式後，再回到「RemoteApp管理員」節點頁面，點選「動作」窗格內的「新增RemoteApp程式」。開啟「歡迎使用RemoteApp精靈」頁面後，按下〔下一步〕按鈕繼續。 在如圖22所示的頁面中勾選想要發佈的應用程式，然後選取任一應用程式項目並按下〔內容〕按鈕。 ▲圖22 選擇要加入的應用程式。 在「RemoteApp內容」頁面中，先設定該應用程式的別名，此別名將成為後續封裝程式時的主檔名。接著，決定是否要讓此應用程式圖示出現在遠端桌面服務的網站上供使用者點選。若有需要的話，還可以設定命令的引數以及變更應用程式的圖示（圖23）。 ▲圖23 應用程式內容。 在如圖24所示的〔使用者指派〕活頁標籤中，還可以進一步設定是否只讓特定的使用者或群組看到此應用程式的圖示。在預設的狀態下，只要是通過連線驗證的使用者都可以看到此應用程式的圖示並執行。 ▲圖24 使用者指派。 接著來到「檢視設定」頁面，可以查看前面針對每個準備發佈的應用程式項目所進行的設定值。確認無誤後，按下〔完毕〕按鈕即可。 完毕RemoteApp應用程式發佈之後，在如圖25所示的頁面中就可以看到已發佈的應用程式清單。在此可以隨時針對任一應用程式項目內容進行修改，甚至可以建立成RDP檔案或MSI封裝程式。接下來，介紹使用者如何從網站的連線方式來存取RemoteApp。 ▲圖25 完毕應用程式發佈。 TOP 4：使用者如何存取RDS網站應用程式 在用戶端的電腦上開啟IE瀏覽器之後，連線至遠端桌面服務的網址（例如），將會開啟如圖26所示的登入頁面。 ▲圖26 登入遠端桌面服務。 第一次連線時，由於瀏覽器的安全性問題，也许需要手動點選允許執行遠端桌面網站存取的相關附加元件。成功按下〔執行〕按鈕後，輸入使用者的帳戶密碼來完毕「登入」驗證。 圖27所示便是前面步驟中所發佈的遠端桌面應用程式項目，而這裡的項目圖示顯示與否，是根據此登入者的權限設定來決定。可以點選執行任一程式來試試。 ▲圖27 應用程式項目。 執行時，將會出現如圖28所示的訊息頁面。可以先決定所要轉向至遠端伺服器的本機資源（如磁碟機），再按下〔連線〕按鈕。成功連線後，該應用程式的執行就 像是在本機執行一般，只有當使用者需要儲存檔案時，才會發現儲存的位置，除了有遠端伺服器的磁碟外，還有本機電腦的磁碟出現其中。 ▲圖28 執行應用程式。 而如圖29所示的「遠端桌面」頁面中，則可以讓使用者透過此頁面設定來決定所要連線的遠端桌面主機，涉及所要採用的解析度、轉向資源、遠端音訊的撥放、快速鍵的設定以及網路頻寬的設定。 ▲圖29 遠端桌面連線設定。 開始連線遠端桌面時，也许會出現如圖30所示的訊息頁面，按下〔連線〕按鈕繼續。 ▲圖30 遠端桌面連線。 圖31所示是使用者第一次登入該遠端桌面主機時的載入畫面。完毕所需的作業操作後，只要在「開始」功能表中點選【登出】即可；若直接點選關閉視窗，則該使用者的工作階段必須等到系統預設的逾時時間到期時，才會真正結束。 ▲圖31 連線中的遠端桌面。 TOP 5：如何在Windows 7桌面開啟遠端應用程式 先在Windows 7中開啟「控制台」視窗，然後連續點選「RemoteApp和桌面連線」圖示。接著，在如圖32所示的「輸入URL以設定新連線」頁面中可以看到一個網址輸入的範例。 ▲圖32 設定RemoteApp網址。 只要修改其中完整網域名稱（FQDN）即可，至於後面的路徑，維持不變即可。然後，按下〔下一步〕按鈕。 成功連線前面所設定好的遠端桌面服務網址後，就會開啟「準備好設定連線」頁面。按下〔下一步〕按鈕，將會開始下載該網站上的遠端桌面應用程式至本機電腦中，而這些下載的連結也會定期與伺服器進行更新。 如圖33所示，在「您已順利設定下列連線」頁面中能夠得知可用的程式數量。若想要立即開啟這些程式的資料夾，則點選「開始使用這個連線」連結。 ▲圖33 成功完毕連線。 圖34所示就是遠端應用程式連結預設的存放的路徑（C:\Program Files\Remote App和桌面連線\遠端桌面服務預設連線），可以在此立即點選執行任一程式。 ▲圖34 開啟RemoteApp應用程式。 至於在如圖35所示的頁面中，則會顯示之前設定好的遠端桌面連資訊，例如最新一次與伺服器更新的日期與時間。 ▲圖35 RemoteApp和桌面連線管理。 對使用者來說，往後最方便執行遠端應用程式的方式，將是直接在「開始」功能表中依序點選【Remote App和桌面連線】→【遠端桌面服務預設連線】選項，就可以點選所要執行的遠端應用程式。 圖36所示是一個開啟Microsoft Word 2023遠端應用程式的顯示頁面，待成功連線執行後，使用者在操作上就會像是在執行本機的應用程式。 ▲圖36 連線開啟中的應用程式。 後續使用者假如想要移除所下載安裝的遠端應用程式，可再回到「控制台」中的「Remote App和桌面連線」頁面，點選「移除」連結即可完整清除這些程式連結與相關資料夾。 TOP 6：如何以Group Policy大量部署遠端應用程式 一方面回到「RemoteApp管理員」介面，針對準備要進行大量部署的遠端應用程式項目進行單選或多重選取，然後點選「動作」窗格中的「建立Windows Installer...」連結。此時將開啟「歡迎使用RemoteApp精靈」頁面，按下〔下一步〕按鈕繼續。 在如圖37所示的「指定封裝設定」頁面中，先決定封存程式建立時的儲存位置，然後考慮是否設定遠端桌面服務工作階段主機的連線資訊、閘道設定、憑證設定。本例不修改任何預設值，直接按下〔下一步〕按鈕。 ▲圖37 指定封裝設定。 進入「設定發行版本封裝」頁面後，設定遠端應用程式圖示置放位置（「開始」功能表與桌面）以及資料夾名稱。完毕設定後按下〔下一步〕按鈕。 隨後，「檢視設定」頁面內會顯示前面所完毕的各項設定。假如確認無誤，按下〔完毕〕按鈕，就會立即產生所有選取的遠端應用程式msi封裝檔案。 圖38所示是筆者在預設的資料夾中所建立的Microsoft Access 2023的遠端應用程式封裝檔案（MSACCESS.msi）。 ▲圖38 成功建立安裝檔。 建議將此資料夾設定為共用，如此一來，除了能夠讓使用者端透過網路連線來手動安裝外，後續也可以經由群組原則的軟體派送功能進行大量部署。 點選該資料夾後按一下滑鼠右鍵，然後點選快速選單中的【內容】就會開啟內容視窗。圖39所示是筆者已設定好的共用組態。 接著，在網域控制站主機上的「系統管理工具」中開啟「群組原則管理」。如圖40所示，可在所進行管理的組織容器上按下滑鼠右鍵，並點選快速選單中的【在這個網域中建立GPO並連結到...】。 ▲圖40 群組原則管理。 然後，如圖41所示在「新增GPO」頁面中輸入一個唯一識別的「名稱」並按下〔確定〕按鈕。 ▲圖41 新增GPO。 完毕建立GPO之後，如圖42所示點選該GPO項目，然後按下滑鼠右鍵，點選快速選單中的【編輯】。 ▲圖42 編輯GPO。 進入「群組原則管理編輯器」介面後，如圖43所示展開「電腦設定」或「使用者設定」節點，再依序點選「原則」→「軟體設定」→「軟體安裝」，隨即按下滑鼠右鍵，點選快速選單中的【新增】→【封裝】。 ▲圖43 新增軟體封裝。 若採用「電腦設定」，軟體的部署將會在使用者尚未登入前完毕安裝，而採用「使用者設定」，必須等到使用者登入之後才會開始安裝軟體。由於這裡準備將該群組原則物件（GPO）套用在特定使用者，因此採用「使用者設定」中的軟體安裝設定。 新增封裝執行之後，必須選取指派封裝程式的檔案。選取之後，接著如圖44所示在該封裝項目上按下滑鼠右鍵，並點選快速選單中的【內容】。 ▲圖44 開啟軟體封裝內容。 如圖45所示，在封裝程式「內容」視窗的〔部署〕活頁標籤內，確認部署類型為「指派」。在「部署選項設定」方框內，則勾選「不要在[控制台]的[新增/移除程式]中顯示這個封裝」及「在登入時安裝這個應用程式」設定，然後按下〔確定〕按鈕。 ▲圖45 封裝內容設定。 再一次回到「群組原則管理」介面中，連續點選自行建立的群組原則物件來開啟如圖46所示的進階頁面。將預設的「安全性篩選」設定項目移除，然後按下〔新增〕按鈕，加入所要套用的使用者或群組。 ▲圖46 GPO進階設定。 最後回到準備被套用之使用者的Windows 7電腦。開啟命令提醒字元，然後如圖47所示輸入「gpupdate /force」並按下〔Enter〕按鍵。此時也许會出現需要重新登入的確認訊息，輸入「Y」來完毕重新登入作業。 ▲圖47 立即更新群組原則。 重新登入後就會發現前面設定好的遠端桌面應用程式的部署，程式圖示分別出現在桌面及開始功能表中，可立即點選執行。 圖48所示是將Windows Server 2023 R2遠端桌面服務的應用程式（以Office 2023 Preview為例），發佈至Windows 8企業版用戶端「開始」畫面的範例。 ▲圖48 Windows 8 RemoteApp。