打开服务器管理器,然后单击管理 -> 添加角色和功能
在“ 开始之前”页面上的向导中,单击“下一步”。
在“ 选择安装类型”页面上,选择“ 远程桌面服务安装”,再 单击“下一步”。
在“ 选择 部署类型”页面上,选择“ 快速入门” ,然后单击“下一步”。
在“ 选择部署方案”页面上,选择“基于会话的桌面部署”,然后单击“下一步”。
由于我们选择了快速入门,因此将在单个服务器上安装Connection Broker,Web Access和Session Host角色。点击下一步
在“ 确认”页面上,选中需要时自动重新启动目标服务器的框 ,然后单击“ 部署”。
当您单击“部署进度”时,将显示一个窗口。系统重启后,检查所有服务配置是否成功,然后单击“关闭”。
而已。如果单击左窗格中的“远程桌面服务”链接,则可以通过服务器管理器访问远程桌面服务。
当您单击它时,您会在“ RDS管理器”前面找到自己。
选择快速部署类型时,已经配置了集合(QuickSessionCollection)和远程应用程序。
集合将RD会话主机分离为单独的服务器场,并允许管理员组织资源。(我将在RD收集的目的一文中进一步讨论收集和收集属性)。
如您所见,该部署缺少RD网关服务器和RD授权服务器。
单击添加RD授权服务器 绿色按钮。
选择一个服务器,下一步
确认选择,然后单击添加。等待角色服务部署完毕,然后单击“关闭”。
接下来,我们需要添加RD网关。单击添加RD网关服务器绿色按钮。
选择一个服务器,下一步
当我们通过向导时,它将创建一个自签名的SSL证书。稍后我将用Trusted替换该证书。在“ SSL证书名称”页面上,我将输入我的RDS服务器rds01.mehic.se的完全合格域名。
点击下一步并添加。等待角色服务部署完毕,然后单击“ 配置证书”以查看“证书选项”
(OBS !!!我将在“探索部署属性”系列中讨论更多有关部署属性的信息)
请注意,证书级别当前的状态为未配置。RD网关证书用于客户端到网关的通信,并且需要客户端信任。在所有客户端上安装自签名证书,或者使用所有客户端已经信任完整证书链的证书。如向导中所述,外部FQDN应该在证书上。
在创建新证书之前,我们需要配置DNS,以便外部用户可以将RD网关的名称解析为正确的IP地址。您将在外部DNS(托管dns或ISP上的DNS)上配置它,而我们对此没有控制权,但可以从Internet进行访问。
在这种情况下,我的“外部DNS”(我的外部网络上的ROUTER-机器)将处理外部网络的DNS。
如果我尝试从外部Windows 10计算机ping网关,则ping将会失败。
一切都在内部运作
打开DNS管理器,然后浏览到“正向查找区域”。右键单击正向查找区域,然后选择新区域
在“ 欢迎使用新区域向导”页上,单击“下一步”。在“ 区域类型”页面上,接受默认设置,然后单击“下一步”。
在“ 区域名称” 页面上,输入您的区域名称,在我的情况下为mehic.se,然后单击下一步。
在“区域文件”的“动态更新”页面上,接受默认设置,然后单击“完成”。
完成后,右键单击新区域,然后选择“新主机”(A或AAAA)
在现实生活中,您将键入NAT路由器或防火墙的外部IP地址,即距离网关最近的公用IP。就我而言,我没有运行NAT,也没有运行防火墙,所以我将其内部IP放入
我还将添加我的CA IP地址。
现在,如果我尝试从“外部计算机”执行ping操作,则ping将起作用。
让我们尝试使用RDP连接到RDCB。只需打开运行(Windows Button + R)并输入mstsc。输入RDCB名称,然后单击“高级”选项卡
高级–>设置并指定RD网关,然后单击确定并连接。
Windows安全性将弹出。输入凭据,然后单击“确定”,您将遇到此错误。
我们收到此错误消息是因为我们没有配置证书,这是我们的第二个先决条件。
在现实生活中,您可以从公共CA(GoDaddy,VeriSign等)购买此证书。该证书需要包含您将用作RD Web访问URL的FQDN(我的是rds01.mehic.se)。它必须为.pfx格式,并且您需要包含私钥。就我而言,我将使用我的专用CA。(如果您不熟悉或没有私有CA,请查看我的Mastering Windows Server 2016系列,以了解如何安装证书颁发机构)
打开服务器管理器–>工具–>证书颁发机构
在CA管理单元中,右键单击“证书模板”,然后选择“管理”
这将打开证书模板管理单元。我们需要做的是从这些模板中选择一个并复制它,以便我们可以根据需要自定义它。对于远程桌面,我们需要的大多数证书都是SSL。右键单击Web服务器模板,然后选择“重复模板”
将会弹出新模板窗口。我要做的第一件事是在“常规”选项卡上将证书名称更改为MEHIC SSL。
接下来,单击“请求处理”选项卡,然后选中“ 允许导出私钥”。
我们可以做很多事情,但最重要的是允许。因此,请单击“安全性”选项卡,并授予“身份验证的用户”注册和自动注册的权限。(OBS!在现实生活中,您可能希望将该证书锁定给特定的人,但在这种情况下,这并不重要。)我还将添加域计算机,并授予他们读取,注册和自动注册的权限。完成后,单击“确定”。
现在,我们需要获取该模板并将其发布到CA。为此,请右键单击证书模板–>新建–>要颁发的证书模板。
选择我们新创建的证书,然后单击“确定”。单击“确定”后,您将可以在已发布到CA的证书列表中看到它。
最后一步是注册证书。切换到RDS01并打开MMC(Windows按钮+ R并输入mmc),右键单击Personal-> All Tasks-> Request New Certificate
在“ 开始之前 和选择证书注册策略”页上,单击“下一步”。在“ 请求证书”页面上,选择MEHIC SSL,然后单击链接。需要更多信息。(使用SSL,我们必须提供其他信息)
将主题名称类型更改为通用名称,然后添加您正在使用的服务器或网站的确切名称。首先,我将添加单个标签名称rds01,然后添加FQDN rds01.mehic.se,单击“确定”。
它允许我注册,然后您可以看到我已经成功。点击完成
现在,在“个人”下方,我可以向上并单击“证书”,然后是我要求的证书。接下来,我们需要使用私钥导出证书,并配置网关rdwa,rdcb来使用它。
右键单击它–>所有任务–>导出
欢迎导出向导将弹出。点击下一步。选择是,导出私钥,然后单击下一步
在“导出文件格式”上,单击“下一步”。
选中密码框,然后输入密码。点击下一步
输入名称以及您想要保存的位置,然后单击下一步并完成
现在,让我们回到“部署属性”并选择RD网关–>选择“现有证书”
添加证书,然后单击确定。
单击“应用”,您将注意到证书级别现在的状态为“受信任”。
对RDWA和RDCB进行相同的操作。
是时候测试设置了!
内部
浏览到https://“您的 RDWA服务器名称” / rdweb。如果一切正常,我们将不会收到证书错误消息。RD网关也将起作用。
外部
