轻松管理Windows Server远程桌面

来源 :电脑知识与技术·经验技巧 | 被引量 : 0次 | 上传用户:kccsong
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  利用远程桌面服务,管理员不仅可以对遠程主机进行灵活的遥控操作。还可以发布RemoteAPP程序,让用户可以直接运行服务器上的软件,省却了本地安装的烦琐。管理员还可以将创建的虚拟机分发给指定的用户,使其可以登录到虚拟机上进行操作。这不仅利于集中管控,而且可以有效提高网络运维效率。要想管理好远程桌面服务,需要熟练地掌握各种操作技巧。这里就以很常用的Windows Server 2008R2为例,列举了‘些常用的使用技巧,希望对您有所帮助。
  一、合理调控RDP带宽比例
  远程桌面是通过RDP协议将服务器上的应用程序推送到客户端,同时将客户端的键盘鼠标操作信息返回给服务器。这部分内容占据的带宽称为显示带宽,此外,用户还可以将本地资源(例如磁盘、端口、打印机、剪切板等)通过RDP的虚拟通道映射到服务器上,使服务器和客户端可以自由地传输数据,其占用的带宽称为数据带宽。在默认情况下,两种带宽的比例为七比三。当然,如果用户主要远控服务器,不涉及数据互传的话,可以修改两者的比例,以便更好地执行远控操作。
  在远程桌面服务器上打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TermDD”分支,其中的“FlowControlDisplayBandwidth”键值名控制的是显示带宽比例,“FlowControlChannelBandwidth”键值名控制的是数据带宽,其数值范围从0到255(以十进制为准)。例如,将前者设置为100,后者设置为50,显示带宽和数据带宽比例就为三比二。注意,必须重启桌面服务器,才可以使之生效。
  二、让RemoteAPP自动关联本地文件
  客户端通过RemoteAPP程序,可以使用远程桌面服务器端发布的程序。例如双击从服务器上获得“.rdp”文件,输入所需的账户名和密码,就可以启动该程序,但是却无法和本地特定类型的程序关联。例如双击本地的“.doc”文件,无法启动远程桌面服务器发布的Word程序将其打开。解决的方法是通过分发MST包的方式,使其可以和本地文件关联。在远程桌面服务器卜打开RemoteApp管理器,在列表中找到发布的程序(例如Word等),在其右键菜单上点击“创建Windows Install程序包”项,在向导界面中依次点击下一步按钮,在配置分发程序包窗口(图1)中选择“将此程序的客户端扩展与RemoteApp程序项关联”项,点击完成按钮,之后将生成的WINWORD安装包复制到客户端,在客户端以域管理员身份安装该包。这样,在客户端双击与之关联的程序,就可以打开该远程程序对其操作了。
  三、为用户调配合适的CPU优先级
  当多个用户同时使用RemoteAPP程序,在默认情况下,所有的用户获得的CPU资源是相同的。如果想让重要的用户拥有更高的CPU优先级,可以在远程桌面服务器上打开服务器管理器,在左侧选择“功能”项,在右侧点击“添加功能”链接。在向导界面中选择“Windows系统资源管理器”项,点击完成按钮,添加该组件。之后打开Windows系统资源管理器,选择“此计算机”项,点击连接按钮,在左侧选择“资源分配策略→Weighted_Remote_Session”项,在其右键菜单上点击“属性”项,在弹出窗口中点击“添加”按钮,在添加用户或组窗口中的“优先级”列表中选择“高级”项,点击“添加”按钮,导入所需的域用户或者组,点击确定按钮保存配置。这样,当这些用户使用RemoteAPP程序时就可以获得更多的CPU资源。
  四、让用户拥有不同的RemoteAPP
  在默认情况下,当用户访问“https://RDWeb服务器地址”之类的网址,登录到RDWeb使用页面,可以看到并使用远程桌面服务器所有发布的程序。但是,在有些情况下,因为用户角色和职位等原因,管理员并不希望其看到所有发布的程序,而只允许其使用为其指定的程序。在远程桌面服务器上打开RemoteAPP管理器,在列表中选择某个程序(例如则务软件等),在其属性窗口中的“用户分配”面板(图2)中选择“指定域用户和域组”项,点击添加按钮,导入目标账户(例如则务管理员等)。
  这样,只有指定的账户才可以使用该程序。但是,当用户登录到RDWeb访问页面后,可以点击“远程桌面”链接,输入远程桌面服务器名称,通过远程登录的方法,来避开上述限制随意操作目标程序。为此,可以在远程桌面服务器上打开ITS管理器,打开“网站”→“Default Web Site→RDWeb→Pages”项,在右侧双击“应用程序设置”项,在“ShowDesktops”栏中将其值修改为“False”,就可以隐藏“远程桌面”链接。
  五、利用身份验证,提高访问的安全性
  在默认情况下,当内网中的用户访问远程桌面时,使用的是Kerberos身份验证方式。对于外网用户来说,当其运行“mstsc”程序,利用远程桌面服务器DNS名称访问时,如果黑客对该DNS名称进行了劫持,就很容易泄漏敏感信息。因此,可以利用证书来验证服务器身份。例如,在服务器上执行“mmc”命令,在控制台中点击菜单“文件、添加/删除管理单元”项,在弹出窗口左侧列表中选择“证书”项,点击“添加”按钮,选择“计算机账户”项,点击完成按钮,将其添加进来。在控制台左侧选择“证书、个大,项,在其右键菜单上点击“所有任务→申请新证书”项,在向导界面中选择“Active Directory注册策略”项,点击下一步按钮,选择“计算机”项,点击注册按钮,完成证书申请操作。
  当然,也可以向Internet上的第三方证书颁发机构申请证书。打开远程桌面会话主机配置程序,在“RDP-Tcp”连接项的右键菜单上点击“属性”项,在弹出窗口中的“常规”面板(图3)中的“安全层”列表中选择“SSL(TSL1.0)”项,点击“选择”按钮,在列表中选择上述申请的证书。点击应用按钮,保存配置信息,当客户端登录远程桌面后,在屏幕顶部的工具栏上点击锁型按钮,在弹出窗口中显示“使用服务器证书和Kerberos已验证远程计算机的身份”。点击“查看证书”按钮,显示证书的详细信息。   在很多场合,处于安全性的考虑,往往只允许用户使用桌面服务器发布的RemoteAPP程序,而禁止其登录远程桌面。在上述窗口中的“环境”面板,选择“用户登录时启用系列程序”项,在“程序路径和文件名”栏中输入“c:\windows\system32\logoff.exe”,在“起始于”栏中输入“c:\windows\system32”。这样,当用户试图登录远程桌面时,就会被直接注销。如果希望对会话时间进行控制的话,可以在“会话”面板中选择“改写用户设置”项,设置当客户端断开会话后,结束该会话的时间。在“活动会话限制”栏中设置客户端可以使用RemoteAPP以及远程桌面的时间值。在“空闲会话限制”栏中设置当超过多长时间的空闲状态后,自动关闭会话。选择“改写用户设置”和“结束会话”项,当满足以上条件后,自动结束会话。
  六、保证安全,使用网络级身份验证
  在Windows 2008及其之后的系统中,提供了对网络身份验证的支持。在默认情况下,其处于自动开启状态,采取网络级身份验证,有利于提高系统安全性。例如,可以在连接会话建立之前,就可以对用户身份进行验证,这可以防止恶意用户利用黑客软件,对远程桌面服务器进行密码破解。而且过多的连接,会消耗服务器的资源。当然,对于客户端来说,也必须支持网络级身份验证。
  对于Windows XP SP3等老系统来说,是无法直接支持该功能的。为了解决该问题,可以运行注册表编辑器,打开“HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”分支,双击“Security Packages”键值名,将其内容中追加“tspkg”。选择“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders”分支,双击“SecurityProviders”键值名,在其内容后追加“,credssp.dll”。修改完毕后重启系统,Windows XPSP3就可以支持网络级身份验证了。
  七、单点登录远程桌面和RDWeb站点
  在默认情况下,当用户使用域账户登录系统后,在访问远程桌面时,必须重新提交凭据方可。这多少显得有些烦琐,利用单点登录,就可以解决该问题。在域控上打开组策略管理器,在左侧选择域名,在其右鍵菜单上点击“在这个域中创建GPO并在此处连接”项,输入GPO名称,选择该GPO,进入其编辑界面,选择“计算机配置→管理模板→系统→凭据分配”分支,双击“允许分配默认凭据”项,在弹出窗口中选择“已启用”项,在“将服务器添加到列表”栏电点击“显示”按钮,在显示内容窗口中输入“termsrv/xxx.com”,其中的“xxx.com”表示远程桌面服务器的DNS名称。点击确定按钮,保存配置信息。
  在客户端执行“gpupdate/force”命令,来刷新组策略。执行“gpresult/r”命令,来查看策略的应用情况。当确认应用了上述策略后,当登录远程桌面时,就无法再次提交凭据了。对应的,也可以使用单点登录功能,来快捷登录RDWeb站点。这就需要对RDPX件进行签名,之后使用RDWeb的方式,将其分发到客户端。这样,如果黑客对RDP文件中的服务器地址进行了修改,系统就会禁止用户进行登录。在服务器上打开RemoteAPP管理器,在“数字签名设置”栏电点击“更改”链接,在“数字签名”面板(图4)中选择“使用数字证书签名”项,点击更改按钮,选择所需的证书。
  在“RemoteA即程序”列表中删除所有已经发布的程序,点击“添加RemoteApp”链接,在向导界面中重新选择需要发布的程序。这样,就可以对这些RemoteA即进行数字签名处理。在客户端输入对应的域账户和密码,登录到RDWeb页面。点击对应的RemoteAPP程序,在弹出窗口会显示发布者的信息,点击连接按钮,无须再次输入密码就可以直接运行该程序。
  八、使用虚拟IP,让程序灵活运行
  利用IP虚拟化功能,提高了远程桌面对应用程序的兼容性。因为有些程序需要绑定特定的IP,即使对同一个程序来说,当在不同的客户端上运行时需要配置不同的IPo在服务器卜打开远程桌面会话主机配置程序,在窗口中部双击“IP虚拟化”项,在弹出窗口(图5)中选择“启用IP虚拟化”项,如果配置了多块网卡,可以根据需要进行选择。在“IP虚拟化模式”栏中选择“每会话”“每程序”模式。例如选择“每程序”项,点击添加程序按钮,导入所需的程序。之后点击“添加RemoteApp”链接,来发布上述程序。当客户端在RDWeb站点运行该程序后,就会获得自动分配的虚拟IP。不同的客户端运行该程序,会获得不同的虚拟IP。注意,在域环境中必须存在DHCP服务器。
  九、配置终端网关,避开黑客袭扰
  在一般情况下,不管使用RemoteAPP程序或者登录远程桌面,客户端都会使用RDP协议来和服务器通讯。为了提高安全性,可以使用终端网关角色,将RDP协议封装到安全通道中,有力地提高远程桌面服务器的安全性。客户端连接的是TCP 443端口,这对于提高外网访问的安全性是很重要的。在某台服务器(例如“rdgate.xxx.com”)上打开服务器管理器,打开添加角色向导,选择“远程桌面服务”项,选择“远程桌面网关”项,并为之绑定证书,之后安装该组件。打开远程桌面网关管理器,在左侧选择“策略、连接授权策略”项,在右侧点击“新建策略→自定义”项,在新建策略窗口(图6)中输入其名称,在“要求”面板中的“用户组成员身份”栏中点击“添加组”按钮,导人所需的域账户组,例如“Domain Users”等。这样,这些组中的用户就可以通过RD网关的验证。
  选择“策略→资源授权策略”项,在右侧点击“新建策略→自定义”项,在弹出窗口中输入其名称,在“用户组”面板中添加所需的账户组。如果已经更改了远程桌面服务器连接端口,可以在“允许使用的端口”面板中选择“允许通过以下端口连接”项,输入所需的端口号。在远程桌面服务器上打开RemoteAPP管理器,在右侧点击“RD会话主机”链接,在“RD网关”面板中选择“使用这些RD网关服务器设置”项,输入“rdgate.xxx.com”,在“登录方式”列表中选择“询问密码(NTLM)”项。之后将之前已经发布的程序删除,重新执行发布操作。当客户端登录到RDWeb站点,启动目标程序,在弹出窗口中就会显示网关服务器信息。点击连接按钮,就会通过终端网关来连接远程桌面服务器,来启动目标程序。   十、快速部署RemoteApp程序
  在一般情况下,客户端为了获取服务器发布的程序,可以在控制面板中搜索“remoteapp”,双击找到“RemoteApp和桌面连接”项,在左侧点击“设置一个新连接”项,在向导界面中输入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”,其中的“rds.xxx.com”表示远程桌面主机的DNS名称。之后执行添加连接资源操作,完成后显示出可用的RemoteAPP程序信息。打开开始菜单,在程序列表中打开在“RemoteA即和桌面连接”菜单,在其中显示服务器端发布的程序。
  不过,这种方法不仅操作起来比较烦琐,而且无法适应大规模部署RemoteAPP的场景,在远程连接代理服务器上打开远程桌面连接管理器,在右侧点击“创建配置文件”链接,在“BAD连接源URL”栏(图7)中输入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”,点击保存按钮,将其保存为独立的文件,放置到共享目录中。在客户端将该文件复制过来,双击该文件,在向导界面中点击下一步按钮,就可以创建RemoteAPP桌面连接,省去了手工配置的烦琐。
  十一、使用连接代理,保证会话连贯性
  在很多场合,单台的远程桌面服务器无法承担大量用户的访问需求,因此,将多台远程桌面服务器配置为群集,实现负载均衡功能,可以更好地为用户提供服务。当用户访问时,会随机连接到群集中的某台服务器上,在使用RemoteAPP或者远程桌面上,如果网络连接突然断开,当用户重新连接时,是无法保证顺利连接到上一个会话中的。使用远程连接代理服务的会话目录功能,可以有效解决该问题。在一个负载均衡的环境中,所有的用户登录到服务器之后,都会产生包含用户名、打开的程序、用户IP等会话信息。这些信息保存在特定的数据库中形成会话目录。
  用户再次登录时,其连接的主机会首先访问连接代理服务器,来查看会话目录,检测是否已经存在会话信息。如果有的话,用户就会重定向到对应的服务器上的相应会话中。否则的话,就会连接到当前的服务器上。在远程连接代理服务器运行“lusrmgr.msc”程序,在賬户管理程序左侧选择“组”项,在右侧双击“Session Broker Computers”组,在其属性窗口电点击“添加”按钮,在弹出窗口中点击“对象类型”按钮,选择“计算机”项。之后将群集中的所有远程桌面会话主机添加进来。
  在远程桌面会话主机上打开远程桌面会话主机配置程序,在窗口中部双击“RD连接代理中的场的成员”项,在打开窗口中点击“更改设置”按钮,在设置窗口(图8)中选择“场成员”项,输入远程连接代理服务器名称和场名称。这样,就可以将当前主机的会话连接信息提交到会话目录中。注意,所有的会话主机的场名称应该保持一致。在“RD连接代理”面板中选择“参与连接代理负载平衡”项,为当前主机设置相互权重值。对于场中配置较高的服务器,可以为其设置较高的权重值,使其可以响应更多的用户请求。点击应用按钮,保存配置信息。
  按照同样的方法,在所有的远程会话主机上执行以上配置。注意,如果连接代理服务运行异常的话,可以在其上运行“services.msc”程序,重启“Remote Desktop Connection Broker”服务,就可以有效解决问题。安装远程桌面连接代理的方法很简单,在某台服务器(其DNS名为“xxx.ycdl.com”)上打开服务管理器,启动添加角色向导,在远程桌面服务列表中选择“远程桌面连接代理”项,来安装该组件。
  十二、快速配置,发布虚拟机远程桌面
  使用常规方法,只能允许用户访问物理主机的远程桌面。利用VDI功能,可以将虚拟机的桌面发布给用户使用。在某台服务器(其DNS名为“xxx.xnsrv.com”)上打开服务管理器,启动添加角色向导,在远程桌面服务列表中选择“远程桌面虚拟化主机”项,来安装该组件。当然,事先需要安装好Hyper-V角色。打开Hyper-V管理器,创建所需的虚拟机。例如创建一台Windows 7虚拟机,将该虚拟机的名称修改为“VD01.xxx.com”,其中的“xxx.com”为域名。打开该虚拟机,将其添加到域环境中。
  在控制面板中打开“允许程序通过Windows防火墙”项,选择“远程桌面”和“远程服务管理”项,使其可以穿越防火墙和外界通讯。打开PowerShell窗口,执行“Set-ExecutionPolicy remotesigned-force”和“Configure-VirtualMachine.psl-RDVHost xxx\xnsrv-RDUsers xxx\user01”命令,其中的“xxx\xnsrv”为上述虚拟化主机在域中的名称,“xxx\user01”为域中的账户名,表示该虚拟机将分配给名为“user01”用户使用。打开搜索引擎,搜索“Configure Guest OS forMicrosoft VDI”内容,可以查看和下载“Configure-VirtualMachine.psl”脚本文件的内容。
  配置好虚拟机后,登录到远程桌面连接代理服务器。打开远程桌面连接管理器,在右侧点击“配置虚拟机”链接,在向导界面中点击下一步按钮,在“服务器名称”栏中输入远程桌面虚拟化主机名称,例如“xxx.xnsrv.com”。点击添加按钮,将其添加到列表中。在下一步窗口中的“服务器名称”栏中输入远程桌面会话主机名称,点击下一步按钮,输入RD Web代理服务器名称。其余设置保持默认,点击完成按钮,打开分配个人虚拟机向导界面,点击“选择用户”按钮,选择与虚拟机绑定的用户(例如“xxx\user01”)。在“虚拟机”列表中选择上述虚拟机名称,例如“VD01.xxx.com”。这样,当“user01”用户在客户端上登录RDWeb站点,就会显示“我的桌面”图标。点击该图标,就会登录为其指定的虚拟机上。当然,该虚拟机必须事先处于关机状态。
其他文献
以“勾股定理”为依托,主要就“教材整体内容”和“具体内容”(包括内容的呈现方式、知识背景、例题和练习),对中国人教版教材和新加坡NEM教材进行了比较研究,通过知识点呈现
在初级日语课程中, 「てくる」と「ていく」对于日语学习者来说是一组较难以理解的句型。为了让学习者能够清楚理解和掌握「てくる」と「ていく」的用法,有必要对「てくる」
<正> 湖北省天門縣石龍过江水庫工地發現新石器時代遺址后,該縣文化館与省文物工作队为了向廣大羣
用英语做事情可以理解为用英语沟通,用英语 朗读,用英语写作等。英语作为一种工具,沟通是最 基本的功能,因此,英语教师要具备用英语沟通的能 力。在课堂上这种沟通的能力可通过“
随着教育的不断深入发展,各种新型教育模式不断涌现,然而“微课” “翻转课堂”这种与技术相关联的教学模式却得不到普及。通过国内外的对比研究,发现我国的“微课”多处于研
为研究系列浓度梯度配比的生长调节剂与不同外植体对驱蚊香草植物重建的影响,我们建立了该种植物的快繁体系。以培养了4~5个月的无菌苗为实验材料,选用其中第三片、第四片全
自2003年3月教育部颁布普通高中信息技术课程标准以来,目前共有10个省市区进入了高中新课程改革实验。各实验区的教师们在以教材为依托的基础上,开始了关于教学方法以及课程内容重新发现的尝试,有成功的经验,也有失败的教训。借助编写《高中信息技术新课程案例与评析》一书的机会,就新课程教学中涌现出的一些值得借鉴的经验作了较全面的总结,希望与一线教师们共享。    营造教研共同体 迎接新课程教学的挑战   
本文指出我校中高年级语文课文朗读的现状,归 纳总结了一些指导学生朗读的方法。
P—SV转换波静校正是转换波处理中的一个难题,常规的纵波静校正方法在转换波处理中有很大的局限性。在共转换点道集中求取转换波静校正量,要求进行精度较高的动校正,实际处理上