Windows Server 2008 R2 遠端桌面服務全面部署(一)
今天要與大家探討的技術議題是Windows Server 2008 R2作業系統內建的遠端桌面服務（RDS，Remote Desktop Services），關於這一項服務事實上就是以前的終端機服務（TS， Terminal Services）。

企業IT虛擬化的兩大應用分別是虛擬機器（Virtual Machine）與遠端桌面服務，兩者的共同效益都是可以大幅降低IT的管理成本，因此如今早已經有許多的企業皆陸續完成了這兩種解決方案的導入。

雖然說這兩類的應用在如今的IT市場上，除了Microsoft之外也都有其它廠商提供相關的解決方案（包含了Open Source），但不能夠否認的是選擇Microsoft解決方案確實能夠獲得較低的導入成本以及較佳的整合能力。

就以今天的主角「遠端桌面服務｣來說，它直接內建於Windows Server 2008 R2之中（用戶端授權需另計），滿足了使用者由裡到外連線存取應用程式的需求。不僅如此，在基礎的安全性考量設計上除了提供了網路層級的驗證（NLA）機制，以及結合SSL加密通道的保護之外，在進階的安全性整合應用上還可以整合RSA的動態密碼驗證技術、智慧卡驗證以及網路存取保護（NAP）。

如此完善的虛擬化解決方案在部署上也相當容易，只要按部就班來進行都可以輕鬆完成。在接下來的內容當中，我們將要指引有興趣的讀者們，來快速完成遠端桌面服務架構中的基礎建置。

請注意！當您只是需要可以透過遠端桌面連線來管理伺服器時，是不需要特別安裝遠端桌面服務（RDS）的，只需要在[開始]功能表的[電腦]圖示中按下滑鼠右鍵點選[內容]，然後再點選[遠端設定]連結之後在[遠端]頁面中啟用遠端桌面功能即可。

安裝遠端桌面服務
想要安裝遠端桌面服務首先請從[系統管理工具]選單中開啟[伺服器管理員]，如圖1所示請在[角色]節點頁面中點選[新增角色]繼續。


▲ 圖1 伺服器管理員


接著請在如圖2所示的[選取伺服器角色]頁面中選取[遠端桌面服務]，然後點選[下一步]繼續。

▲ 圖2 選取伺服器角色


在如圖3所示的[選取角色服務]頁面中，在此可以看到有關於遠端桌面服務下所細分的六大功能服務，其用途分別說明如下：
遠端桌面工作階段主機：想要提供RemoteApp與遠端桌面給一般使用者來使用，此服務是必要的基礎安裝。
遠端桌面虛擬主機：此服務是整合Hyper-V伺服器角色以便於使用者可以直接透過RemoteApp或桌面的連線來當做個人虛擬桌面或虛擬桌面集區的虛擬機器，而使用者在被從Active Directory中指派的個人虛擬桌面，登入後所進行的各種自訂功能都會儲存下來，並且能夠在下一次登入個人虛擬桌面時繼續使用。
遠端桌面授權：之前版本稱之為[終端機服務授權]，用以管理每一裝置或每一使用者合法授權的連線（RDS CAL），因此您必須有一部主機負責擔任此服務角色。在尚未安裝與設定連線此服務之前，您將會有120天的使用期限。
遠端桌面連線代理人：之前版本稱之為[終端機服務工作階段代理人]，主要用途在重新導向以RemoteApp和桌面連線的使用者工作階段，因此它在擁有多部遠端桌面工作階段主機的架構規劃中，如果再進一步搭配網路負載平衡（NLB）機制，那麼這一項功能將可以有效滿足對於遠端桌面服務的高可用性需求。
遠端桌面閘道：如果您想遠端使用者可以隨時在有提供遠端桌面連線 (RDC) 的用戶端裝置上，透過它連線登入到任一授權的內部遠端桌面電腦，則必須在DMZ（建議）網路中建置一部此服務主機，必須注意的是在標準版的Windows Server 2008 R2中有250個同時連線的限制，而企業版與Datacenter則沒有限制。此外這項服務還可以進一步整合網路存取保護（NAP）的安全機制。
遠端桌面Web存取：如果您想使用者可以直接從瀏覽器來連線存取RemoteApp與登入遠端桌面，那麼這一項功能服務將是必要的選擇，選取之後系統將會自動安裝IIS網站的相關必要元件並且建立虛擬目錄。

請注意！Windows Web Server 2008 R2與Itanium版本的Windows Server 2008 R2是無法安裝使用遠端桌面服務。

在接下來的操作講解中我們只需要分別勾選[遠端桌面工作階段主機]與[遠端桌面Web存取]即可。點選[下一步]繼續。


▲ 圖3 選取角色服務


如圖4所示在[指定遠端桌面工作階段主機的驗證方法]頁面中，我們可以決定是否要使用更安全的[網路層級驗證]機制，基本上只要用戶端的作業系統是Windows Vista與Windows 7以上版本都是直接支援的，對於還在使用Windows XP的用戶端則必須額外下載與安裝最新版本的遠端桌面連線（RDC）工具。點選[下一步]繼續。

Windows XP遠端桌面連線6.1下載網址：
http://www.microsoft.com/downloads/details.aspx?familyid=6E1EC93D-BDBD-4983-92F7-479E088570AD&displaylang=zh-tw



▲ 圖4 設定驗證方法


如圖5所示在[指定授權模式]頁面中，如果已經預先準備好了授權資訊與遠端桌面授權服務主機的安裝，便可以在此直接指定所購買的授權類型（依裝置或使用者），如果還在測試階段請勾選[稍後再設定]並且點選[下一步]繼續。


▲ 圖5 指定授權模式


如圖6所示在[選取允許存取此RD工作階段主機伺服器的使用者群組]頁面中，預設僅有Administrators群組的使用者可以存取遠端桌面服務，您可以點選[新增]按鈕來加入其他使用者群組，在此建議您預先建立好一個遠端桌面服務專屬的使用者群組以便於後續的管理，點選[下一步]繼續。


▲ 圖6 使用者群組授權設定


如圖7所示在[設定用戶端體驗]頁面中，可以讓連線的使用者工作階段體驗到類似Windows 7的功能，這包含了[音訊與視訊撥放]、[音訊錄製重新導向]以及[桌面轉譯緩衝處裡]。無論如何對於這一些功能的啟用，系統將會自動在此工作階段伺服器上安裝[桌面體驗]功能，點選[下一步]繼續。


▲ 圖7 設定用戶端體驗


由於我們在前面的遠端桌面服務項目中有勾選了[遠端桌面Web存取]，因此在接下來的頁面中將會如圖8所示來到網頁伺服器的[角色服務]設定，在此請採用預設值即可，點選[下一步]繼續。


▲ 圖8 網頁伺服器安裝設定


最後便會來到如圖9所示的[確認]頁面，如果確認前面的安裝選項設定皆無誤，請點選[安裝]即可。


▲ 圖9 確認安裝選項


等待整個遠端桌面服務相關的元件都安裝完成之後，將會出現如圖10所示的重新啟動電腦的訊息頁面，請點選[是]繼續。


▲ 圖10 重新啟動確認

> 重新開機並且登入之後將會自動開啟如圖11所示的[安裝結果]，請點選[關閉]即可。


▲ 圖11 安裝成功


成功完成了遠端桌面服務的安裝之後，將可以在如圖12所示的[伺服器管理員]介面之中看到[RemoteApp 管理員]、[RD Session Host Configuration]、[遠端桌面服務管理員]三個節點頁面，而這三個介面程式也都可以在[系統管理工具]下拉選單中的[遠端桌面服務]找到。

想要讓我們所安裝的遠端桌面服務持續運作正常，必須讓在[遠端桌面服務]節點頁面中的三大服務執行狀態始終是處在[執行中]才可以，這三個服務分別是遠端桌面服務的核心[Remote Desktop Services]，以及影響遠端桌面服務網站存取的[IIS Admin Service]與[World Wide Web Publishing Service]。


▲ 圖12 遠端桌面服務


由於我們在前面的操作當中並沒有安裝與設定遠端桌面的授權組態，因此當開啟[遠端桌面工作階段主機設定]（RD Session Host Configuration）的頁面時，將會如圖13所示出現兩個相關的警告訊息，這分別是授權模式與授權主機尚未設定的警告訊息。


▲ 圖13 授權診斷



SSL網站安全通道配置

完成了基本遠端桌面服務的安裝之後，針對讓使用者可從網站直接存取的功能部分，為了確保從連線登入到登入之後的資料傳遞安全，我們必須自行來配置遠端桌面服務網站的SSL安全機制。

請注意！在接下來的操作之前必須先確認在網域內已經有建置了CA憑證授權單位主機，以利於伺服器憑證的申請與安裝。

請從[系統管理工具]下拉選單之中開啟[IIS網站管理員]介面，接著請如圖14所示在伺服器節點頁面中連續點選[伺服器憑證]圖示繼續。


▲ 圖14 IIS網站管理員<

br /> 開啟如圖15所示的[伺服器憑證]頁面之後，請點選位在[動作]窗格之中的[建立網域憑證]連結繼續。


▲ 圖15 伺服器憑證管理


請注意！如果CA憑證授權單位主機並非建置在網域環境之下而是以獨立的伺服器存在，則您可能需要改由點選[建立憑證要求]與[完成憑證要求]的操作方式來完成憑證的申請與安裝。

接著請如圖16所示在[分辨名稱屬性]的頁面中，先完成[一般名稱]資訊的輸入，在此您必須輸入將提供給用戶端使用者連線的完整網域名稱（FQDN），而這個名稱也必須是在網路中可以被解析到的。接著再陸續完成其它欄位資訊的填寫並且點選[下一步]繼續。


▲ 圖16 憑證資訊設定


如圖17所示在[線上憑證授權單位]頁面中，請點選[選取]按鈕來將網域內的憑證伺服器選取進來，然後輸入一個好記的名稱並且點選[完成]即可。


▲ 圖17 線上憑證授權單位設定


完成了伺服器憑證的申請之後，緊接著我們必須將這個憑證指派配置給遠端桌面服務的網站。請在選取遠端桌面服務所屬的網站節點之後，如圖18所示點選位在[動作]窗格中的[繫結]連結繼續。


▲ 圖18 RDS網站設定


在如圖19所示的[站台繫結]頁面中，請在選取https類型項目之後點選[編輯]繼續，如果發現無此項目則必須點選[新增]按鈕來加入https類型。


▲ 圖19 站台繫結


如圖20所示在[編輯站台繫結]頁面中，請從[SSL憑證]下拉選單中選取前面我們所申請下來的憑證項目並且點選[確定]即可。如果想要確認該憑證的詳細資訊請點選[檢視]。


▲ 圖20 編輯站台繫結