为远程管理配置服务器

为了实现远程管理功能，需要在中心服务器配置一台服务器（或虚拟机），在虚拟机中安装Windows Server 2008 R2、配置 RemoteApp并发 布“Active Directory用户和计算机”供用户使用。为了说明问题，我们以图1所示拓扑为例，介绍Windows Server 2008 R2远程桌面服务、发布服务器上的RemoteApp应用程序并让Windows XP、Windows 7用户使用的内容。其中，SER2是新配的服务器，SER1域控制器已经配置好，是系统中原有的Active Directory服务器。

说明：在当前示例中，服务器IP地址段为172.30.5.0，如果你也参考本应用，请用你单位实际的IP地址代替。

在SER2安装远程桌面服务

准备一台服务器，安装Windows Server 2008 R2，并加入到域控制器。首先介绍在Windows Server 2008 R2中安装“远程桌面服务”的内容。

1.在Windows Server 2008 R2中，修改计算机的名称为WS08RDWEB，设置IP地址为172.30.5.27，并设置网关及DNS，之后加入到域。重新启动计算机上，以域管理员账户登录，打开“服务器管理器”，右击“角色”，选择“添加角色”。

2.在“选择服务器角色”对话框，单击并添加“远程桌面服务”。在“选择角色服务”对话框，添加“远程桌面连接代理”之外的所有角色（如图2）。

3.在“指定远程桌面会话主机的身份验证方法”对话框，选择“不需要使用网络级别身份验证”，这样运行Windows XP等操作系统的用户也可以访问Windows Server 2008 R2服务器提供的远程桌面服务。

图1 实验拓扑

图2 选择角色服务

图3 服务器身份验证证书

4.在“指定授权模式”对话框，单击“每用户”单选框。选择“每用户”授权模式可以满足当下大多数系统的需求。

5.在“选择允许访问此RD会话主机服务器的用户组”，添加到本地“Remote Desktop Users”组的用户，添加到该组的用户可以访问此RD会话主机服务器组。如果要允许所有用户，可以添加“Everyone”或者添加“Users”。

6.在“配置客户端体验”对话框，配置是否在RD会话主机服务器上安装“桌面体验”功能。为了减轻服务器的负担，可以不需要选择这些功能。

7.在“选择SSL加密的服务器身份验证证书”对话框，单击“为SSL加密创建自签名证书”（如图3）。创建自签名的证书主要用于实验或小规模的部署，如果在生产环境中，需要在网络中自建证书服务器并申请证书。

8.在“为RD网关创建授权策略”对话框，选择“现在”，在“选择可以通过RD网关连接的用户组”对话框，添加“Domain Users”组，这样，所有的合法用户都可以通过。

9.在“为RD网关创建RD CAP”对话框，创建一个RD CAP允许用户连接，在此选择默认值即可。

10.在“为RD网关创建RD RAP”对话框，创建一个RD RAP以指定用户通过RD网关服务器可连接的网络资源，在此选择“允许用户连接到网络上的任何计算机”。

11.在“网络策略和访问服务”对话框，显示“网络策略和访问服务简介”。RD远程桌面服务需要网络策略服务器。

12.在“选择角色服务”对话框，显示要安装的网络策略和访问服务的角色服务（如图4），只安装“网络策略服务器”即可。

13.远程桌面网关及远程桌面Web访问需要IIS的支持，所以需要安装Web服务器。在“选择角色服务”对话框，显示了要安装的IIS的角色，单击“下一步”按钮继续。

14.在“确认安装选择”对话框，显示了将要安装的各种服务及角色，。检查无误之后，单击“安装”按钮。之后开始安装，在“安装结果”对话框，显示了安装的结果，并提示需要重新启动。

15.经过两次重新启动后，远程桌面服务安装完成。

远程桌面授权

在安装完“远程桌面服务”之后，打开“管理工具→远程桌面服务”程序组，可以看到每个配置程序（如图5）。

图4 角色服务

图5 远程桌面服务程序组

图6 激活完成

在这里可以选择相应的程序进行配置。首先介绍“远程桌面授权”服务。

1.激活授权服务器

（1）打开“RD授权管理器”后，右击服务器名称，在弹出的快捷菜单中选择“激活服务器”。RD授权服务必须激活才能使用。

（2）在“连接方法”对话框，选择最合适的方法进行激活。如果当前服务器能连接Internet，选择“自动连接（推荐）”是最好的选择。如果当前服务器不能连接Internet或者不能连接Microsoft的激活服务器，可以采用电话激活的方式。

（3）在“公司信息”对话框，选择“国家”或地区，并输入公司及个人信息，这里每一项都是必需的。

（4）之后的“公司信息”则是可选信息，可以根据情况选择是否输入。

（5）之后开始连接Internet并自动激活（如图6）。激活授权服务器是免费的。

2. 安装许可证

在激活授权服务器之后，还需要安装许可证。在Windows Server 2008 R2中的许可证包括“每用户”、“每设备”许可证两种，对于大多数情况下，“每用户”许可证可以满足要求。安装许可证需要从Microsoft购买License，并且购买的许可证只能在一台服务器上激活。

（1）可以右击服务器，选择“安装许可证”进入向导。在“许可证计划”对话框中，选择合适的许可证计划，通常情况下，通过零售购买的许可证只能激活一次，并且每个许可证有数量的限制。

（2）在“许可证代码”对话框中，输入零售购买的许可证。如果有多个许可证，可以多次添加，最后许可证的数量是可以累加的。

（3）之后开始安装许可证，直到安装完成。

（4）安装许可证之后如图7所示，显示了许可证的数量及限制。

远程桌面会话主机配置

在激活授权服务器并安装许可证之后，需要在“远程桌面会话主机配置”中，添加授权服务器，步骤如下。

1.在“远程桌面服务”组中执行“远程桌面会话主机配置”程序，在“授权”选项组中双击“远程桌面授权服务器”，当前显示为“未指定”。

2.在“属性”对话框中，在“授权”选项卡中，单击“添加”按钮，在“添加许可证服务器”对话框中，添加己知的许可证服务器，本示例为WS08RDWEB。之后，单击“确定”按钮，完成授权服务器的添加。

图7 许可证数量

图8 Active Directory管理中心

图9 添加RemoteApp程序

在RD会话主机安装远程服务器管理工具

接下来在RD会话主机安装应用程序，在主机上安装的应用程序可以发布为RemoteApp应用程序供用户使用。在此安装“远程服务器管理工具”。

1.打开“服务器管理器”，右击“功能”，选择“添加功能”，在“选择功能”中，依次展开“远程服务器管理工具→角色管理工具→AD DS和AD LDS工 具”，添 加“Active Directory管理中心”（如图 8）。

2.在“确认安装选择”对话框，单击“安装”按钮。之后根据提示完成安装。

3.安 装“Active Directory管理中心”之后，在“管理工具”中才有“Active Directory用户和计算机”管理工具。

RemoteApp应用程序

在RD会话主机安装了应用程序之后，就可以将安装的应用程序发布出来，主要步骤如下。

1.在“管理工具 →远程桌面服务”中打开“RemoteApp管理器”，在右侧的“操作”列表中单击“添加RemoteApp程序”（如图9）。

2.在“RemoteApp向 导→选择要添加到RemoteApp程序列表的程序”中，在“名称”列表中，会显示当前安装在主机上的应用程序，可以在此选择。

3.对于列表中没有而又确实安装在当前主机的程序，例如“Active Directory用户和计算机”，可以点击“浏览”按钮，在弹出的“选择程序”对话框中，在“文件名”中输入：

%System Root%system32dsa.msc

然后单击“打开”按钮。添加之后如图10所示。

4.在“复查设置”对话框，单击“完成”按钮，完成添加。

将发布的RemoteApp程序创建成RDP文件

在Windows Server 2008 R2中，还可以将RemoteApp应用程序发布成RDP文件，或为其创建Windows Installer程序包，这两种方式都可以简化用户使用RemoteApp程序的方式。但在Windows Server 2012中已经取消了这两个功能。

首先介绍将RemoteApp应用程序创建RDP文件并为创建的RDP文件创建网站、并允许用户浏览下载的方法与步骤。

1.在“RemoteApp管 理器”中，在“RemoteApp程序”中选择要创建成RDP文件的程序，在“其他分发选项”选项组中单击“创建.rdp文件”链接。

图10 浏览添加程序

图11 委派控制

2.在“指定程序包设置”对话框中，在“输入要保存程序包的位置”处，浏览选择保存rdp程序包的位置，通常为其设置一个新的、空白文件夹，例如c: dweb。

3.在“复查设置”对话框，单击“完成”按钮。

4.之后打开发布的程序包位置，显示创建完成的rdp文件，将这些文件包通过FTP、Web、电子邮件发给用户，用户双击就可以访问对应的RemoteApp应用程序。

在域控制器上委派域用户

在域控制器上为每个地市“委派”权限，为每个地市指定一到多域管理员，指定的用户具有在自己所属区域（组织单位，OU）具有创建用户、修改域用户密码的权限。

1.右击指定的组织单位，以“信息中心”为例，如图11所示。右击，在弹出的快捷菜单中选择“委派控制”。

2.在“欢迎使用委派向导”对话框单击“下一步”按钮，在“用户或组”对话框中，添加用于委派的域用户，通常是指定的部门管理人员账户。

3.在“要委派的任务”对话框，选择要委派的任务，在本示例中选择“创建、删除和管理用户账户”和“重置用户密码并强制在下次登录时更改密码”。

4.在“完成控制委派向导”对话框中，单击“完成”按钮。

经过上述设置，中心节点服务器端配置完成，各地区管理员就可以使用发布的RemoteApp应用程序管理自己地区的域账户。下面介绍各地区管理员使用篇，分别以Windows XP及Windows 7为例进行介绍。