用终端服务安装软件

引言：终端服务除了常规的远控操作外，还提供了程序虚拟化功能，让客户端运行安装在终端服务器上的软件，省去了在客户端安装软件的繁琐。利用终端服务提供的程序虚拟化功能，可以让这些主机用户毫不费力地运行之前无法运行的软件。

在众多的远程控制软件中，终端服务是大家都非常熟悉的。其实，终端服务还提供了程序虚拟化功能，可以让客户端用户运行安装到终端服务器上的软件，省去了在客户端上安装软件的繁琐。现在的软件体积越来越大，在局域网中一些配置较低的主机，运行这些大软件，显得比较吃力。利用终端服务提供的程序虚拟化功能，可以让这些主机用户毫不费力地运行之前无法运行的软件。

图1 执行程序发布操作

发布RemoteAPP虚拟程序

在安装了终端服务的Windows Server 2008主机上，运行TS RemoteAPP管理器程序。在主界面（如图1）中的“RemoteApp程序”列表中的右键菜单上，点击“添加Remote App程序”项，在向导界面点击“下一步”，显示本机安装的所有程序，选择（可多选）目标程序，在下一步窗口中显示选择的所有程序，点击“完成”按钮，完成指定程序的发布操作。

为了让客户端可以操作这些程序，需要创建对应的RDP文件，即将发布的应用程序信息封装为RDP格式的文件。该文件是桌面虚拟化应用的远程链接文件，客户端运行该RDP文件，就可以对发布的程序进行远程操作。当然，应用程序实际上是在终端服务器上运行的。

用常规方式访问虚拟程序

在上述“RemoteApp程序”列表中选择目标程序，在“其他发布选项”区域点击“创建.rdp文件”项，在向导界面（如图2）中点击“下一步”，点击“浏览”，设置RDP文件存储路径。依次点击下面的“更改”按钮，可以设置终端服务器名称和端口、TS网关、安全证书等信息。点击“完成”按钮，生成所需的RDP文件。该RDP文件体积很小，传输起来很方便。

当在服务器端发布了应用程序后，在客户端可以采用多种方式进行访问。最简单的就是运行RDP文件，在弹出的RemoteApp窗口中点击“连接”按钮，在Windows安全窗口中显示默认的连接账户名，输入密码后，点击“确定”按钮，就可以远程运行该程序了。当然，也可以点击“使用其他账户”项时，输入别的连接账户名和密码，来远程执行程序。

安装Web访问组件

我们还可以使用Web方式来访问远程程序，即使用IE等浏览器连接终端服务器，这需要服务器端安装有Web访问组件。方法是，在服务器上打开服务器管理器，在窗口左侧选择“角色”项，在窗口右侧点击“添加角色”链接。在向导窗口中选择“远程桌面服务”项，在下一步窗口中“远程桌面网关”和“远程桌面Web访问”项，在下一步窗口中选择“需要使用网络级别身份验证”项，可以提高连接的安全性。点击“下一步”按钮，可以使用SSL加密模式来保护数据传输的安全性。

图2 创建RDP文件

对于在企业内部创建CA根目录服务器，创建Active Directory环境来说，适合选择“为SSL加密选择现有证书”项。对于小规模网络，可以选择“为SSL加密创建自签名证书”项。在下一步窗口中选择“现在”，表示立即创建授权策略。选择“以后”项，可以在终端服务器管理控制台创建授权策略。在下一步窗口中可以添加所需的域账户或者组，并将其添加到本地的Remote Desktop Users组中，允许其访问该RD会话主机。

配置RD网关授权策略

按照提示执行重启系统后，继续执行以上配置动作。完成后打开远程桌面网关管理器，在其控制台左侧选择“主机名→策略→连接授权策略”项，在其右键菜单上点击“新建策略→向导”项，在向导界面弹出窗口中选择“创建RD CAP和RD RAP”项，表示同时创建终端服务连接授权策略和管理终端服务资源授权策略。点击“下一步”按钮，输入连接授权策略的名称。在下一步窗口中选择“密码”项，表示使用密码安全认证机制。在“用户组成员身份”栏中点击“添加组”按钮，在弹出窗口中搜索并选择所需的用户组，将其导入进来。

点击“下一步”按钮，选择“启用所有客户端设备的设备重定向”项，可以将客户端的磁盘，打印机等设备重定向到被控端。在下一步窗口中勾选“启用空闲超时”项，可以设置合适的时间值。这样，在远程连接建立后，如果空闲的时间超过该值。就会自动断开会话。勾选“启用会话超时”项，设置合适的时间值。这样，当连接会话的时间到达该值后，可以采取另外的处理方法，一种是断开会话连接，一种是断开连接后自动执行验证和重新授权。

依次点击“下一步”按钮，在创建RD RAP窗口中输入资源授权策略名称。在下一步窗口中添加和选择对应的用户组，使其可以通过RD网关连接到目标内网资源。点击“下一步”按钮，在选择网络资源窗口中选择允许访问的资源，可以选择Active Directory域服务网络资源组、RD网关服务器场成员列表等。这里选择“允许用户连接到任意网络资源（计算机）”项，表示允许连接者访问内网中的所有主机。在下一步窗口中选择允许的TCP端口，默认为TCP 3389端口。也可以选择“允许通过以下端口连接”项，设置别的端口，让连接者通过该端口远程连接网络资源。

在下一步窗口中点击“完成”按钮，完成终端策略的创建操作。在客户端打开浏览器，在地址栏中输入访问地址（例如“https：//终端服务器地址/rdweb”），在认证窗口中输入对应的账户名和密码的，点击“确定”按钮，按照提示安装基于RD Web访问所需的ActiveX插件。在连接选项界面中的“连接到”栏中输入服务器IP，在“远程桌面大小”列表中选择桌面尺寸。点击“选项”按钮，可以设置更多的连接项目。点击“连接”按钮，选择所需的设备和资源项目。点击“确定”按钮，账户名和密码信息，就可以在浏览器中遥控终端服务器了。

图3 访问RD Web虚拟程序

用Web方式访问虚拟程序

安装好了Web访问组件，就可以在客户端以Web方式访问远程应用程序了。在客户端浏览器地址栏中输入访问地址（例如“https：//终端服务器地址/rdweb”），输入拥有合适权限的账户名和密码，登录到终端服务控制界面中（如图3）。

在其中的“RemoteApp程序”页面中显示已经发布的所有应用程序，点击目标程序，在RemoteApp窗口中显示发行者、类型、远程计算机等信息，在“允许远程计算机访问我的计算机的以下资源项”栏中显示驱动器、剪切板、打印机、串行端口、支持的即插即用设备等设备。您可以根据需要，选择对应的资源项目。

这样，客户机就可以使用这些资源了，例如当执行打印操作时，可以在本地打印机上打印等。点击“连接”按钮，在“输入您的凭证”窗口中输入对应的账户名和密码，点击“确定”按钮，就可以远程操作该程序了。例如当远程操作Word 2010等软件时，在执行保存操作时，可以将文件保存到远程主机上，或者保存到本地硬盘或者优盘上。当然，默认打开或者保存的位置位于终端服务器上。使用RDP文件和Web访问方式，其优点是客户端只能访问已经发布的程序，对于没有发布的程序，是无法进行操作的，其安全性比较高。当然，客户端也可以运行“mstsc.exe”程序。来连接到终端服务器上，执行发布的程序。不过该方式的安全性较低，例如，当用户登录后可以随意执行别的程序，或者更改系统的配置信息等。

通过RD网关远程登录服务器

如果配置了RD网关，客户端可以通过远程桌面连接程序，经由RD网关远程管理服务器。运行“mstsc.exe”程序，在远程桌面连接窗口中点击“显示选项”项，在“高级”面板中的“如果服务器身份验证失败”列表中选择“显示警告”项。点击“设置”按钮，在设置界面中选择“使用这些RD网关服务器设置”项，输入RD网关服务器的域名，注意不是IP地址。否则的话将无法正常连接，系统会提示服务器地址与证书使用者名称匹配等信息。因此，客户端主机必须可以正确解析该域名。

如果是局域网环境，可以直接执行验证操作。所以可以选择“不对本地地址的RD网关服务器”项，如果RD网关服务器与内网中受保护的终端服务器的密码相同，可以选中“将我的RD网关凭据用于远程计算机”单选框，如果不同则无需选择该项。保存设置后，在远程桌面连接窗口中“常规”面板中输入终端服务器的IP或者名称。注意，RD网关服务器和终端服务器是有区别的，终端服务器可以隐藏在RD网关服务器的后面。RD网关服务器可以在Internet上拥有独立的域名，而终端服务器只是内网主机，只拥有内网地址，RD网关服务器可以同时拥有外网和内网地址。

终端服务器可能有多台，用户只需更改连接的IP即可，而连接参数中的RD网关的域名是不能更改的。例如RD网关域名为“rdp.xxx.com”，而内网终端服务器的IP为“192.168.1.100”等。点击“连接”按钮后，在输入凭证窗口中输入服务器上的对应账户名和密码，该账户必须在预设的允许连接远程桌面的账户列表中。点击“确定”按钮，在“网关服务器凭据”窗口中输入具有连接终端服务器的域用户名和密码，当通过RD网关的身份认证后，就可以安全地连接到服务器的远程桌面环境中，对其进行远程控制了。

为网关服务器配置数字证书

注意，这里使用的HTTPS访问方式，为了顺利实现访问，可以在服务器端配置证书。例如，可以在域控制器上安装Active Directory证书服务，并向其申请证书。也可以向Internet上的专业证书颁发机构申请证书。关于数字证书的获得，可以用多种方法实现。例如，使用上面提到的自签名证书功能，就可以轻松达到目的。点击“开始→所有程序→管理工具→远程桌面服务→远程桌面网关服务器”项，在打开窗口左侧选择本地服务器，在右侧窗口中的“操作”栏中点击“属性”项，在RD网关属性窗口中的“SSL证书”面板中选择“创建自签名证书”项，点击“创建并导入证书”按钮，在弹出窗口中的“证书名称”栏中输入名称，这需要和RD网关服务器的FQDN全名一致，例如“drp.xxx.com”作为证书名称。

勾选“存储根证书”项，点击“浏览”按钮，选择证书文件存储位置。点击“确定”按钮，完成证书文件的创建操作。之后根据提示信息，重启RD网关服务器。当重启之后，在IE地址栏中输入网关域名（例如“https：//rdp.xxx.com”），来查看该证书是否已经生效。之后，就可以在远程桌面环境中对RD网关服务器和客户机之间的通讯进行加密，并且在远程桌面RDP-TCP连接之间也启用加密功能。在Windows Server 2008中可以创建证书服务器，可以满足证书的发布、申请、安装、创建等操作。Windows Server 2008支持应用于企业内部的证书服务器和用于Internet的独立证书服务器。

前者应用于域环境，需要活动目录的支持，用户可以直接向证书服务器申请并安装证书。后者应用于非域环境，可以安装到任何一台独立的服务器上，当用户向证书服务器申请证书时，必须经由管理员检查后办法才可以颁发使用。在部署了证书服务器后，服务器的名称和域名均不可更改，但是可以更改IP地址。以安装企业CA为例，在服务器管理窗口中运行“添加角色向导”程序，在角色选择列表中选择“Active Directory证 书服务”项，在向导界面中点击“下一步”按钮，在选择角色服务中如果选择“证书颁发结构Web注册”项，可以启用证书Web注册功能。其余设置保持默认即可，依次点击“下一步”按钮，最后点击“完成”按钮，完成证书服务器的创建操作。

在RD网关服务器上运行“mmc”程序，在控制台界面中点击“Ctrl+M”键，在弹出窗口中点击“添加”按钮，在弹出窗口中选择“证书”项，点击“下一步”按钮，保存配置后返回控制台界面，在窗口左侧选择“证书→个人”项，在右键菜单上点击“所有任务→申请新证书”项，打开证书注册界面。当然，在操作之前必须保证网络状况良好，RD网关服务器已经加入域。在下一步窗口中选择“Active Directory 注册策略”项，在下一步窗口中勾选“计算机”项，点击“注册”按钮，完成证书的申请操作。

这样，在上述创建网关服务器时，在“选择SSL加密的服务器身份验证证书”窗口中就可以点击“导入”按钮，导入上述申请的证书了。因为如果选择自签名证书，可能会遇到一个麻烦，就是客户机并不信任自签名证书的颁发机构，我们还需要手工为客户机设置受信任的证书颁发机构。因此在实际网络环境下，最好还是在企业内部署一个CA服务器。

当然，您也可以向Internet上的专业证书颁发机构，来申请为远程桌面RD网关申请证书，步骤是首先下载CA根证书，之后将证书导入受信任的证书办法机构。接着申请服务器身份验证证书，申请远程桌面RD网关对外公布的名称，例如“prd.xxx.com”。并选择“标记密钥为导出”项。获得所需证书后，需要将其导出并导出私钥信息。这样，在上述创建网关服务器时，就可以导入该证书文件了。之后在RD网关服务器的属性窗口中打开“SSL证书”面板，选择“将证书导入RD网关证书/个人存储”项，点击“浏览并导入证书”按钮，导入上述证书文件。