Win2008 R2 RemoteApp体验:服务器配置

　　在上篇文章中我们介绍了如何实现RemoteApp服务器的部署，本文中我们将要对RemoteApp服务器进行配置。实验拓扑如下图所示，TSERVER是RemoteApp服务器，操作系统为Windows Server 2008 R2。下面我们通过实例为大家介绍如何在RemoteApp服务器上完成各项参数的基本配置。

　　启动TSERVER后，我们以域管理员的身份登录。在TSERVER上依次点击 开始－管理工具－远程桌面服务－RemoteApp管理器，就可以看到如图1所示的RemoteApp管理界面。我们在RemoteApp管理器中点击右侧操作栏中的"RD会话主机"，就可以对RemoteApp服务器进行配置了。

图1

　　在RemoteApp管理器中点击"RD会话主机"后，我们看到如图2所示的管理界面。在"服务器名称"中我们需要输入RemoteApp服务器的完全合格域名，在此我们输入的是tserver.contoso.com。RemoteApp服务器工作的端口是默认的3389，如果我们对安全性的要求不是很高，完全可以使用默认端口。由于我们目前还没有配置远程桌面访问，因此暂时不用勾选"在RD Web访问中显示到此RD会话主机服务器的远程桌面连接"。

　　我们在图2中看到有一个选项是"访问未列出的程序"，可以选择允许或不允许用户启动未列出的程序，这个选项的作用是什么呢？原来，远程终端主机上的程序是可以被间接启动的。例如，我们在RemoteApp服务器上发布了一个Word2007程序。那么，当客户机启动了RemoteApp服务器上的Word2007，并打开了一个带有URL的Word文档时，IE浏览器就有可能在RDP会话内部启动，即使IE浏览器没有出现在RemoteApp的发布程序列表中。为了安全起见，我们选择不允许启动未在程序列表中列出的程序。

　　我们在之前的文章中完成了RemoteApp服务器的部署及配置（1，2），本文中我们将为大家介绍如何在RemoteApp服务器上安装应用程序。绝大多数的应用程序都可以在终端服务器上良好运行，只有个别程序会表现出兼容性方面的问题。我们最好在RemoteApp服务器部署完成后，再进行应用程序的安装，这样会获得较好的效果。安装完应用程序后，我们需要把程序配置为允许远程使用，然后要考虑是通过RDP文件的方式还是通过MSI文件的方式把RemoteApp程序发布到客户机。我们将通过一个实例为大家介绍上述流程，实验拓扑如下图所示，我们接下来将在TSERVER上部署及发布Office2007。

一 安装RemoteApp程序

　　在TSERVER上打开控制面板，双击"程序"图标，看到如图1所示界面，点击"在远程桌面服务器上安装应用程序"。

图1

　　如图2所示，安装想到提示我们放入软件介质，我们这时可以在光驱中放入Office2007安装光盘，点击"下一步"继续。提示一下大家，Office2007的企业版可以安装在RemoteApp服务器上，专业版，旗舰版等都不能安装在RemoteApp服务器上。

图2

　　如图3所示，安装向导要求我们提供安装程序的文件名，我们输入Office2007的安装文件名"D:\\setup.exe"，点击"下一步"开始Office2007的安装。

图3

　　Office2007安装开始后，首先我们输入Office2007的产品序列号，然后看到如图4所示的软件许可协议，勾选接受协议后点击"继续"按钮就可以进行下一步的安装进程。

图4

　　如图5所示，我们要选择Office2007中的安装组件，我们选择了Word，Excel，Powerpoint三个经典的Office产品进行安装。

图5

　　经过了一段时间的安装过程后，Office2007安装结束。如图6所示，点击"完成"按钮，我们就完成了RemoteApp程序的安装。

　　虚拟化技术是当今最热门的IT技术之一。虚拟化技术在提高硬件资源利用率，改善运维效率，提升用户体验方面都大有用武之处。微软把虚拟化技术划为为服务器虚拟化，桌面虚拟化，应用程序虚拟化和展示层虚拟化。今天我们要为大家介绍的就是展示层虚拟化中的一项新技术RemoteApp。

　　RemoteApp的前身是终端服务器。终端服务技术是一项应用广泛的成熟技术，客户机可以连接到终端服务器，在终端服务器上执行应用程序，然后把执行结果回传到客户机。这样一来，当客户机受到某些条件制约而无法在本机部署某些应用程序时，就可以借助终端服务器来运行程序，运算部分在服务器完成，客户机只是负责输入输出。有了终端服务技术之后，很多配置老旧的计算机重新获得了生机，应该说终端服务技术在提高计算机硬件利用率方面发挥了很大作用。

　　终端服务技术在应用过程中也暴露出了一些有待改进的缺点。例如，用户在客户机上连接到终端服务器后会得到一个服务器桌面，对熟悉客户端操作系统的用户来说，服务器桌面并非一个最佳选择；更糟糕的是，初级用户往往需要在本地的宿主桌面和远程的终端服务器桌面之间进行切换。他们需要在终端服务器桌面上运行应用程序，但同时也需要在宿主桌面上收发电子邮件，浏览网页。如果用户同时需要连接到多个终端服务器，情况就更加复杂了，没有经验的用户在多个终端服务器桌面和宿主桌面之间切换时往往会感到手忙脚乱，出错的概率大增。还有，当用户在外网时，想连接到终端服务器一般都要先通过VPN接入内网。但用户出差在外地时，有些互联网访问点可能并没有开启PPTP或L2TP的通讯端口，导致用户无法通过VPN连接到终端服务器，影响正常的业务使用。

　　RemoteApp针对终端服务技术进行了改进。在RemoteApp中，用户在客户机上运行远程服务器上的应用程序时，不再需要得到整个服务器桌面，只需要看到应用程序运行的窗口！RemoteApp中的应用程序和客户端桌面实现了集成，在任务栏中有自己的条目，运行在自己的窗口中，看起来就像客户机的本地程序一样。如果把RemoteApp和TS Gateway结合起来，用户就可以通过443端口访问到RemoteApp中的应用程序，而无需事先建立VPN连接。漫游用户和移动用户是RemoteApp的最大受益者，因为他们无论在哪台计算机上登录，都会惊喜地发现所需要的应用程序已经"安装"好了，可以直接运行。除了上述优点，和终端服务技术相比，RemoteApp显著地降低了网络资源的消耗，因为RemoteApp只需要显示应用程序的运行窗口就可以了，不再需要完整地显示整个终端服务器的桌面。

　　为了让大家更好地体验RemoteApp，我们准备了一个实验环境为大家介绍如何实现RemoteApp的部署，配置及程序发布。实验拓扑如下图所示，一共使用了三台计算机。一台是域控制器兼DNS服务器，操作系统是Windows Server 2003 SP2；一台是RemoteApp服务器，操作系统是最新的Windows Server 2008 R2；还有一台客户机使用了XP SP2的操作系统。首先我们要为大家介绍的是如何实现RemoteApp服务器的部署。

　　我们在上篇文章中完成了RemoteApp程序的部署及配置(1，2，3)。目前，RemoteApp服务器上已经安装并发布了Office2007企业版，而且我们为Office2007创建了相关的RDP文件和MSI安装包。本文中我们要在客户机上分别使用RDP和MSI安装包对RemoteApp服务器上发布的应用程序进行测试。实验拓扑如下图所示，我们准备的客户机操作系统仍然是目前市场占有率的XP，至少在当前，XP系统比Win7更具有代表性。

　　既然客户机上使用的是经典而古老的操作系统XP SP2，那我们就需要为这种选择付出一些代价。XP SP2系统中并没有最新的远程桌面连接客户端，我们首先需要在XP SP2上安装最新的远程桌面客户端软件。从这点来看，XP确实是有些过时了，Win7是不存在这个问题的。XP可以使用6.1版本的的远程桌面客户端软件，下载地址是http://www.microsoft.com/downloads/details.aspx?familyid=6E1EC93D-BDBD-4983-92F7-479E088570AD&displaylang=zh-cn。如图1所示，我们先在XP客户机上下载远程桌面客户端6.1。

图1

　　如图2所示，下载了远程桌面客户端6.1后，我们在客户机上启动安装过程。

图2

　　安装远程桌面客户端的过程很简单，如图3所示，安装完毕后，无需重启就可以生效。客户机上安装了新版本的远程桌面客户端后，接下来我们就可以在客户机上进行RemoteApp的程序测试了。

　　我们在之前的文章中实现了RemoteApp服务器的部署，配置及测试(1，2，3，4)。RemoteApp服务器使用的协议是大家非常熟悉的RDP协议，RDP协议使用的是3389端口。一般情况下在内网使用3389端口是没问题的，但有些企业的防火墙对3389端口会限制使用，甚至有些电信部门也会限制3389端口的连接。如果遇到限制3389端口的环境，我们可以考虑把RDP协议封装在HTTPS协议中。这样我们在互联网上使用RemoteApp会更加方便，不用担心遭到封杀;而且我们可以使用浏览器作为客户端工具，这样对特定环境的要求就降低了很多，毕竟在当前的互联网环境下浏览器是一个非常容易获取的通用工具。

　　想让客户机通过浏览器访问RemoteApp服务器，我们可以通过远程桌面Web访问组件来实现。远程桌面Web访问组件其实是IIS7中的一个虚拟目录，用户通过访问这个虚拟目录就可以重定向到RemoteApp服务器。实验拓扑如下图所示，我们准备在TSERVER上部署远程桌面Web访问组件，实验步骤如下。

一 部署远程桌面Web访问组件

　　我们首先在TSERVER上部署远程桌面Web访问组件。在TSERVER上打开服务器管理器，如图1所示，点击左侧的"角色"，在右侧操作栏中可以看到远程桌面的角色服务。从图中可以看到，远程桌面Web访问尚未安装，点击"添加角色服务"，准备添加远程桌面Web服务。

图1

　　如图2所示，在角色服务中勾选"远程桌面Web访问"，角色向导提示我们这个角色服务需要IIS组件的支持，点击"添加所需的角色服务"，这样在安装远程桌面Web访问时就可以自动安装所需的IIS组件。

图2

　　如图3所示，向导列出了所需的IIS组件，这些组件不需要调整，直接点击"下一步"继续。

图3

　　如图4所示，确认要进行的组件安装正确无误，点击"安装"开始正式的组件安装。

图4

　　远程桌面Web访问安装的过程非常简单，如图5所示，点击"关闭"按钮就可以结束组件安装了。

　　二 部署CA

　　客户机通过HTTPS协议访问RemoteApp服务器时，需要RemoteApp服务器上有证书支持。证书可以从商业CA申请，也可以在企业内部创建自己的CA。一般考虑到经济因素及使用便利，我们最好选择在企业内部创建自己的CA服务器。由于我们的实验环境中有Active Directory，我们决定在域控制器上部署一个企业根CA。

　　在DCSERVER的控制面板中打开添加或删除组件，如图6所示，在添加/删除Windows组件中勾选"证书服务"。

图6

　　如图7所示，在企业类型中选择"企业根CA"，企业根CA可以很好地和Active Directory结合，使用起来比独立根CA更方便。

图7

　　如图8所示，我们输入CA的公用名称，其他参数选择默认值即可。

图8

　　如图9所示，接下来需要设置证书数据库及数据库日志的存储路径，测试环境下使用默认值即可。

图9

　　企业根CA部署完成后，会自动通过组策略告知域内的计算机，以便让域内的计算机把企业根CA加入到受信任的证书颁发机构中。如果希望组策略尽快生效，可以在域内的计算机上运行 gpupdate/force。组策略生效后，我们可以用MMC控制台打开证书管理单元，看看企业根CA是否被信任。如图10所示，我们可以看到在XP客户机上，新创建的ContosoCA已经被加入到受信任的根证书颁发机构中了。

图10

　　如果CA服务器使用的是Windows Server 2003操作系统，那么CA服务器需要安装一个如图11所示的补丁。如果不安装这个补丁，Vista，Win7等客户机操作系统通过浏览器申请证书时会失败，屏幕上会提示正在下载Active X控件，但永远都无法完成。补丁的下载地址是http://support.microsoft.com/kb/922706/zh-cn。

　　三 申请证书

　　创建完企业根CA后，我们就可以在RemoteApp服务器上申请一个Web服务器证书了。在TSERVER上打开IIS管理器，如图12所示，在右侧操作栏中选择"创建证书申请"。其实我们现在从图1中可以看到，当前的IIS7中已经有了一个服务器证书tserver.contoso.com，只不过这个证书是TSERVER服务器自己为自己颁发的，并不被域内其他的计算机所信任。

图12

　　如图13所示，我们需要填写申请证书的各项参数，其中特别要注意的是通用名称，这个名称应该和客户机访问Web服务器时所习惯使用的计算机名相同，这个参数的重要性可以用我们身份证上的姓名来加以比喻。

图13

　　如图14所示，接下来要选择加密服务提供程序和密码位长，这些参数使用默认值即可。

图14

　　如图15所示，我们把申请证书的各项参数写入到一个文件certsrv.txt中，这个文件的内容就是用Base64编码保存的证书申请参数，接下来我们还要使用这个文件。

图15

　　在TSERVER上打开浏览器，访问https://dcserver/certsrv，如图16所示，选择"申请证书"。

图16

　　如图17所示，选择"提交一个高级证书申请"。

　　如图18所示，选择使用Base64编码提交一个证书申请。

图18

　　如图19所示，打开certsrv.txt文件，把文件内容都复制到证书申请的Base64编码文本框中，证书模板选择"Web服务器"，点击"提交"按钮进行证书申请。

图19

　　如图20所示，证书申请成功，点击"下载证书"，准备把证书保存为文件。

图20

　　如图21所示，我们把证书保存为C:\\CERTNEW.CER。

图21

　　再次回到IIS7管理器中，如图22所示，选择右侧操作栏中的"完成证书申请"。

图22

　　如图23所示，我们提供c:\\certnew.cer作为证书颁发机构响应的文件名，证书的好记名称取名为"tserver.contoso.com"，点击"确定"就可以把ContosoCA颁发的证书导入到IIS中。

图23

　　在IIS7中导入证书后，如图24所示，我们在IIS7管理器中点击左侧的"Default Web Site"，选择右侧操作栏中的"绑定"。

图24

　　如图25所示，在网站绑定中选择对HTTPS进行编辑，选择让HTTPS协议使用刚刚导入的TSERVER.CONTOSO.COM证书。至此，我们在TSERVER上申请了一个Web服务器证书，并把这个证书用在了网站上。

　　四 远程桌面Web访问测试

　　完成了前期的准备工作后，我们在XP客户机上进行最后的测试。在XP客户机的浏览器中输入https://tserver.contoso.com/rdweb，如图26所示，我们在浏览器中看到了远程桌面服务页面。输入域管理员的身份凭证进行登录。

图26

　　如图27所示，我们看到了RemoteApp服务器上所发布的RemoteApp程序，我们点击Word2007进行测试。

图27

　　如图28所示，启动Word2007后我们需要选择把本机的哪些资源共享给远程计算机，可供选择的资源有驱动器，剪切板，打印机等。

图28

　　如图29所示，Word2007在远程服务器上开始运行，这次我们是通过浏览器触发了RemoteApp程序，远程桌面Web访问测试成功!

图29

　　我们也可以通过浏览器测试一下对远程服务器的桌面访问，如图30所示，在远程桌面服务页面中切换到"远程桌面"标签，填写连接到tserver.contoso.com，远程桌面大小设置为全屏，点击"连接"。

图30

　　如图31所示，连接到远程服务器时，也要选择是否共享本机的"剪切板"或"打印机"资源。

图31

　　如图32所示，我们通过浏览器访问到了远程服务器，输入域管理员账号进行测试。

图32

　　如图33所示，我们在XP上获得了一个远程服务器桌面，我们可以在这个服务器桌面上运行远程服务器上发布出的程序。至此，远程桌面Web访问测试成功，我们在客户机上可以通过浏览器访问到远程服务器上的RemoteApp程序以及服务器桌面!