堡壘機應用服務器(remoteapp)配置手冊 - V2006

1、目 錄1 應用服務器介紹1-11.1 支持Windows server 2008的版本1-11.2 RemoteApp應用發(fā)布介紹1-11.3 RemoteApp對終端的要求1-11.4 RemoteApp對終端的要求1-11.5 應用服務器授權許可介紹1-22 安裝前的準備2-12.1 注意事項2-12.2 RDS授權碼（僅限合同客戶）2-13 應用服務器安裝步驟3-13.1 安裝遠程桌面服務（必須步驟）3-13.2 應用服務器激活和授權（如果是測試客戶，可忽略此操作）3-173.2.1 激活應用服務器3-173.2.2 安裝應用服務器授權許可證3-283.3 調整應用服務器的策略（必須步驟

2、）3-393.3.1 調整本地組策略3-393.3.2 設置RD授權模式3-453.3.3 允許用戶在初始連接時啟動列出和未列出的程序3-493.3.4 關閉windows防火墻3-513.3.5 關閉IE增強的安全配置3-523.3.6 開啟遠程桌面3-543.4 發(fā)布RemoteApp程序3-564 運維審計系統(tǒng)與應用服務器結合使用4-14.1 rdp文件應用發(fā)布4-14.2 IE代填應用發(fā)布4-11i1 應用服務器介紹應用服務器由windows server 2008服務器平臺搭建的。應用服務器用于安裝應用程序，并能通過RemoteApp服務發(fā)布應用程序。1.1 支持Windows se

3、rver 2008的版本W(wǎng)indows Server 2008 StandardWindows Server 2008 EnterpriseWindows Server 2008 Datacenter1.2 RemoteApp應用發(fā)布介紹RemoteApp是微軟在Windows Server 2008之后，在其系統(tǒng)中集成的一項服務功能，使用戶可以通過遠程桌面訪問遠端的桌面與程序，客戶端本機無須安裝系統(tǒng)與應用程序的情況下也能正常使用遠端發(fā)布的各種的桌面與應用。1.3 RemoteApp對終端的要求客戶在自行搭建應用服務器(windows server2008)前，需要選取相應的硬件配置，為了更好

4、的使用應用服務器推薦以下配置：1、如果采購USM200型號，推薦應用服務器的硬件配置：至少8G內存、四核CPU、250G磁盤空間（給操作系統(tǒng)150G）、兩塊網(wǎng)卡。2、如果采購USM500型號，推薦應用服務器的硬件配置：至少16G內存、四核CPU、250G磁盤空間（給操作系統(tǒng)150G）、兩塊網(wǎng)卡。3、如果采購USM1000型號，推薦應用服務器的硬件配置：至少32G內存、六核CPU、300G磁盤空間（給操作系統(tǒng)200G）、兩塊網(wǎng)卡。4、如果采購USM3000型號，推薦應用服務器的硬件配置：至少64G內存、八核CPU、500G磁盤空間（給操作系統(tǒng)300G）、兩塊網(wǎng)卡1.4 RemoteApp對終端的

5、要求由于是采用RDP協(xié)議訪問應用服務器提供的應用程序，所以對終端平臺有以下要求：（1） 終端操作系統(tǒng)必須為windows操作系統(tǒng)。（2） windows的RDP版本至少6.1版本。（3） 如果終端操作系統(tǒng)為windows XP或windows server 2003，請檢查RDP版本，如果版本過低請升級RDP版本。1.5 應用服務器授權許可介紹應用服務器授權許可證是用于對windows server 2008的遠程桌面服務（RDS）進行授權許可，只有正確RDS授權許可成功之后，運維審計系統(tǒng)訪問應用服務器的遠程桌面服務就沒有時間限制；未進行RDS授權許可的應用服務器只有120天的使用有效期。1-

6、22 安裝前的準備安裝應用服務器需要準備的工作。2.1 注意事項為了確保應用服務器配置成功，請遵從以下的注意事項：(1) Windows server 2008可以直接在本服務器配置里安裝RemoteApp服務。(2) Windows server 2008可以安裝在物理設備里，也可以安裝在虛擬機里。(3) 準備好windows server 2008操作系統(tǒng)，使用正確的產品ID激活windows server 2008；否則會影響應用服務器的正常使用。2.2 RDS授權碼（僅限合同客戶）(1) 每臺正式銷售（即合同客戶）的運維審計系統(tǒng)可以向安恒公司的相關負責人申請一套RDS授權碼。如下圖：圖

7、2-1 RDS授權碼示意圖示意圖中的“父級計劃”號碼和“開放式許可證詳細信息”號碼是一組無效的示例號碼；請勿使用！否則應用服務器授權失敗。因為每份應用服務器授權許可證中的父級計劃和開放式許可證詳細信息的號碼都不同。如果是合同客戶，則需要以郵件的方式向安恒公司的相關負責人申請RDS授權碼，申請條件：客戶名稱、合同編號信息！如果是測試客戶，則無需申請，因為windows的RDS安裝好之后有120天的有效試用期，足以滿足測試。(2) 每組應用服務器授權許可證中的信息包括：父級計劃和開放式許可證詳細信息的號碼，及對應的運維審計系統(tǒng)的序列號。(3) 在章節(jié)的RDS授權碼會在第“3.2應用服務器授權”中使

8、用到。3-663 應用服務器安裝步驟本章節(jié)以Windows Server 2008 R2 Enterprise的配置為例。3.1 安裝遠程桌面服務（必須步驟）步驟1 在windows server 2008系統(tǒng)中，進入服務器管理器/角色窗口。圖3-2 服務器管理器示意圖步驟2 單擊<添加角色>，進入添加角色向導窗口。圖3-3 添加角色向導示意圖步驟3 單擊<下一步>進入選擇服務器角色窗口，勾選“遠程桌面服務”。圖3-4 選擇服務器角色示意圖步驟4 單擊<下一步>進入遠程桌面服務窗口。圖3-5 遠程桌面服務簡介示意圖步驟5 單擊<下一步>進入選擇角

9、色服務窗口，勾選“遠程桌面會話主機”和“遠程桌面授權”服務。圖3-6 選擇角色服務示意圖步驟6 單擊<下一步>進入應用程序兼容性窗口。圖3-7 應用程序兼容性提示示意圖步驟7 單擊<下一步>進入身份驗證方法窗口，選擇“不需要使用網(wǎng)絡級別身份驗證”。圖3-8 選擇身份驗證方法示意圖步驟8 單擊<下一步>進入授權模式窗口，選擇“以后配置”。圖3-9 選擇授權模式示意圖步驟9 單擊<下一步>進入用戶組窗口，可在“用戶或用戶組”框添加允許遠程訪問的用戶或用戶組。圖3-10 添加用戶組示意圖步驟10 單擊<下一步>進入客戶端體驗窗口，不選擇任何

10、功能項。圖3-11 選擇客戶端體驗示意圖步驟11 單擊<下一步>進入RD授權配置窗口，不選擇任何功能項。圖3-12 RD授權配置界面示意圖步驟12 單擊<下一步>進入確認窗口圖3-13 確認安裝選擇示意圖步驟13 單擊<安裝>進入安裝進度窗口。圖3-14 安裝進度示意圖步驟14 等待安裝進度完成后，自動進入安裝結果窗口，并提示需要重啟服務器才能完成安裝過程。圖3-15 安裝結果示意圖步驟15 單擊<關閉>后自動提示“是否希望立即重新啟動”。圖3-16 是否需要重啟提示示意圖步驟16 單擊<是>后，系統(tǒng)自動重新啟動。步驟17 登錄系統(tǒng)后

11、，系統(tǒng)自動繼續(xù)執(zhí)行配置進度。圖3-17 安裝進度示意圖步驟18 自動完成安裝結果，單擊<關閉>即可。圖3-18 安裝成功提示示意圖3.2 應用服務器激活和授權（如果是測試客戶，可忽略此操作）3.2.1 激活應用服務器步驟1 進入控制面板/系統(tǒng)和安全/管理工具/遠程桌面服務界面中。圖3-20 遠程桌面服務管理界面示意圖步驟2 雙擊<遠程桌面授權管理器>進入RD授權管理器界面，右擊計算機名稱。圖3-21 RD授權管理器示意圖步驟3 單擊<激活服務器>進入服務器激活向導界面。圖3-22 服務器激活向導示意圖步驟4 單擊<下一步>進入連接方法界面，本手冊

12、以“Web瀏覽器”的連接方法為例。圖3-23 選擇連接方法示意圖表3-22 連接方法說明連接方法描述自動連接（推薦）使用此方法的前提是要確保應用服務器能連通互聯(lián)網(wǎng)，否則無法進行授權許可。Web瀏覽器此方法適用于應用服務器無法連通互聯(lián)網(wǎng)，但需要進行授權許可。找一臺能連通互聯(lián)網(wǎng)的windows電腦，在瀏覽器中輸入 ，進入遠程桌面服務器授權頁面進行授權許可。電話此方法適用于通過微軟的服務熱線進行電話授權許可，此方法比較繁瑣，需要提供各種詳細信息。步驟5 單擊<下一步>進入許可證服務器激活界面。圖3-24 許可證服務器激活示意圖表3-23 服務器激活條件說明激活條件描述遠程桌面授權網(wǎng)站產品

13、ID操作系統(tǒng)激活的產品ID，服務器激活向導界面會自動識別本操作系統(tǒng)的產品ID。如需查看產品ID，請右擊應用服務器里的“計算機”，單擊<屬性>進入系統(tǒng)屬性界面查看。許可證服務器ID許可證服務器ID是由產品ID生成的，有了許可證服務器ID才能許可證服務器激活成功。步驟6 使用一臺可以連通互聯(lián)網(wǎng)的電腦，在瀏覽器中輸入進入RDS授權頁面，選擇“啟用許可證服務器”。圖3-25 RDS授權頁面示意圖步驟7 單擊<下一步>進入RDS信息填寫頁面，輸入應用服務器的產品ID、公司名稱、國家(地區(qū))。圖3-26 RDS授權頁面示意圖表3-25 RDS授權信息說明填寫項描述產品ID將服務器激

14、活向導界面的產品ID填寫進去。如需查看產品ID，請右擊應用服務器里的“計算機”，單擊<屬性>進入系統(tǒng)屬性界面查看。公司填寫使用用戶單位的名稱。國家(地區(qū))選擇應用服務器所在國家或地區(qū)。步驟8 單擊<下一步>進入RDS授權信息確認頁面。圖3-27 RDS授權頁面示意圖步驟9 單擊<下一步>RDS授權一個許可證服務器ID，將其復制并保存好。圖3-28 RDS授權頁面示意圖步驟10 返回到應用服務器里的服務器激活向導界面，輸入RDS授權頁面生成的許可證服務器ID。圖3-29 許可證服務器激活示意圖步驟11 單擊<下一步>進入正在完成服務器激活向導界面。

15、圖3-30 完成服務器激活向導示意圖步驟12 如果單擊<下一步>則直接進入許可證安裝向導界面，如圖3-30示意圖。如果單擊<取消>則直接退出服務器激活向導界面。3.2.2 安裝應用服務器授權許可證步驟1 在RD授權管理器中右擊計算機名稱。圖3-32 RD授權管理器示意圖步驟2 單擊<安裝許可證>進入許可證安裝向導界面。圖3-33 許可證安裝向導示意圖步驟3 單擊<下一步>進入獲取客戶端許可證密鑰包界面。圖3-34 獲取客戶端許可證密鑰包界面示意圖表3-33 獲取客戶端許可證密鑰包條件說明獲取條件描述遠程桌面授權網(wǎng)站許可證服務器ID許可證安裝向導界

16、面會自動識別本操作系統(tǒng)的許可證服務器ID。許可證密鑰包ID許可證密鑰包ID是由許可證服務器ID、父級計劃和開放式許可證詳細信息的號碼共同生成的。在步驟6中會用到應用服務器授權許可證中的父級計劃和開放式許可證詳細信息的號碼。步驟4 使用一臺可以連通互聯(lián)網(wǎng)的電腦，在瀏覽器中輸入進入RDS授權頁面，選擇“安裝客戶端訪問許可證”。圖3-35 RDS授權頁面示意圖步驟5 單擊<下一步>進入RDS授權信息填寫頁面，輸入正確的許可證服務器ID，在許可證程序里選擇“開放式許可證”，填寫公司名稱，選擇正確的國家(地區(qū))。圖3-36 RDS授權頁面示意圖表3-35 RDS授權信息說明填寫項描述許可證服

17、務器ID將獲取客戶端許可證密鑰包界面的許可證服務器ID填寫進去。許可證程序選擇“開放式許可證”。公司填寫使用用戶單位的名稱。國家(地區(qū))選擇應用服務器所在國家或地區(qū)。步驟6 單擊<下一步>進入RDS授權許可證信息填寫頁面，選擇“windows server 2008 R2每設備CAL或windwos server 2008 TS每設備CAL”，填寫正確的RDS授權數(shù)量、授權號碼、許可證號碼。圖3-37 RDS授權頁面示意圖表3-36 RDS授權信息說明填寫項描述許可證服務器ID將獲取客戶端許可證密鑰包界面的許可證服務器ID，此處不需要填寫。產品類型請選擇“windows serve

18、r 2008 R2每設備CAL或windwos server 2008 TS每設備CAL”的RD授權模式。數(shù)量填寫“1”許可證程序開放式許可證授權號碼根據(jù)應用服務器授權許可證中提供的“父級計劃”號碼填寫。許可證號碼根據(jù)應用服務器授權許可證中提供的“開放式許可證詳細信息”號碼填寫。步驟7 單擊<下一步>進入RDS授權信息確認頁面。圖3-38 RDS授權頁面示意圖步驟8 單擊<下一步>RDS授權一個許可證密鑰包ID號，將其復制并保存好。圖3-39 RDS授權頁面示意圖步驟9 返回至獲取客戶端許可證密鑰包界面，輸入RDS授權頁面生成的許可證密鑰包ID。圖3-40 服務器激活向

19、導示意圖步驟10 單擊<下一步>進入正常完成許可證安裝向導界面。圖3-41 完成許可證安裝向導示意圖步驟11 單擊<完成>后即可在RD授權管理器界面中看到已成功授權，并且已經(jīng)變成綠色的勾勾。圖3-42 RD授權管理器示意圖3.3 調整應用服務器的策略（必須步驟）3.3.1 調整本地組策略步驟1 在運行窗口中輸入“gpedit.msc”。圖3-44 運行窗口示意圖步驟2 單擊<確定>進入計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/連接界面。圖3-45 本地組策略示意圖步驟3 雙擊<將遠程桌面服務用戶限制到單獨的遠程桌面服務會

20、話>，在配置界面中選擇“已禁用”。圖3-46 策略配置示意圖步驟4 單擊<確定>即可。步驟5 雙擊<限制連接的數(shù)量>，在配置界面中選擇“已啟用”，并設置允許的RD最大連接數(shù)為“999999”。圖3-47 策略配置示意圖步驟6 單擊<確定>即可。步驟7 雙擊<允許用戶使用遠程桌面服務進行遠程連接>，在配置界面中選擇“已啟用”。圖3-48 策略配置示意圖步驟8 單擊<確定>即可。步驟9 進入計算機配置/管理模板/windows組件/遠程桌面服務/遠程桌面會話主機/會話時間限制界面。圖3-49 本地組策略示意圖步驟10 雙擊<設

21、置已中斷會話的時間限制>，在配置界面中選擇“已啟用”，并設置結束已斷開連接的會話為“1分鐘”。圖3-50 策略配置示意圖步驟11 單擊<確定>即可。3.3.2 設置RD授權模式步驟1 進入控制面板/系統(tǒng)和安全/管理工具/遠程桌面服務界面。圖3-52 遠程桌面服務項示意圖步驟2 雙擊<遠程桌面會話主機配置>進入配置界面。圖3-53 授權診斷示意圖步驟3 雙擊<遠程桌面授權服務器>進入配置屬性界面，選擇“每設備”模式。圖3-54 授權屬性示意圖步驟4 單擊<添加>進入添加許可證服務器界面，將本地服務器添加到指定的許可證服務器中。圖3-55 添加

22、許可證服務器示意圖步驟5 單擊<確定>即可返回配置屬性界面。圖3-56 授權屬性示意圖步驟6 單擊<確定>后提示已更改系統(tǒng)注冊表的配置。圖3-57 遠程桌面會話主機配置提示示意圖步驟7 單擊<確定>接口生效，并可以查到配置界面已指定。圖3-58 授權診斷示意圖步驟8 單擊<授權診斷>可以看到“授權診斷信息-警告”中為空，表示授權設置正常。圖3-59 授權診斷示意圖3.3.3 允許用戶在初始連接時啟動列出和未列出的程序步驟1 進入控制面板/系統(tǒng)和安全/管理工具/遠程桌面服務界面。圖3-61 遠程桌面服務項示意圖步驟2 雙擊<RemoteApp

23、管理器>進入配置界面。圖3-62 RemoteApp管理器示意圖步驟3 單擊<RD會話主機服務器配置更改>進入設置界面，選擇“允許用戶在初始連接時啟動列出和未列出的程序”。圖3-63 RemoteApp部署設置示意圖步驟4 單擊<確定>即可。3.3.4 關閉windows防火墻步驟1 進入控制面板/系統(tǒng)和安全/windows防火墻/自定義設置界面，關閉windows防火墻。圖3-65 Windows防火墻設置示意圖步驟2 單擊<確定>即可。3.3.5 關閉IE增強的安全配置步驟1 進入服務器管理器界面。圖3-67 服務器管理器示意圖步驟2 單擊<

24、配置IE SEC>進入IE增強的安全配置界面，將管理員和用戶禁用。圖3-68 IE增強的安全配置示意圖3.3.6 開啟遠程桌面步驟1 右擊計算機，單擊<屬性>進入系統(tǒng)屬性界面。圖3-70 系統(tǒng)屬性示意圖步驟2 單擊<遠程設置>進入遠程桌面配置窗口，選擇“允許運行任意版本遠程桌面的計算機連接(較不安全)”。圖3-71 遠程桌面設置示意圖步驟3 單擊<確定>即可。3.4 發(fā)布RemoteApp程序步驟1 進入控制面板/系統(tǒng)和安全/管理工具/遠程桌面服務界面。圖3-73 遠程桌面服務項示意圖步驟2 雙擊<RemoteApp管理器>進入管理界面。圖

25、3-74 RemoteApp管理器示意圖步驟3 單擊界面右上角處的<添加RemotApp程序>進入配置向導。圖3-75 RemoteApp向導示意圖步驟4 單擊<下一步>進入選擇要添加的程序。圖3-76 RemoteApp向導示意圖步驟5 單擊<下一步>進入復查設置界面。圖3-77 RemoteApp向導示意圖步驟6 單擊<完成>即可返回管理器界面。圖3-78 RemoteApp管理器示意圖步驟7 右擊已發(fā)布的應用程序。圖3-79 RemoteApp管理器示意圖步驟8 單擊<屬性>進入屬性配置界面，選擇“允許任何命令行參數(shù)”。圖3-8

26、0 RemoteApp屬性示意圖步驟9 單擊<確定>后彈出提示窗口。圖3-81 RemoteApp向導示意圖步驟10 單擊<是>返回管理器界面。步驟11 右擊已發(fā)布的程序。圖3-82 RemoteApp管理器示意圖步驟12 單擊<創(chuàng)建.rdp文件>進入配置向導。圖3-83 RemoteApp向導示意圖步驟13 單擊<下一步>進入指定程序包設置界面。圖3-84 RemoteApp向導示意圖步驟14 單擊<下一步>進入復查設置界面。圖3-85 RemoteApp向導示意圖步驟15 單擊<完成>后自動彈出已生成rdp文件的文件夾

27、。圖3-86 生成的rdp文件示意圖4 運維審計系統(tǒng)與應用服務器結合使用結合使用的目的是為了統(tǒng)一管理和審計。4.1 rdp文件應用發(fā)布以發(fā)布“寫字板”工具為例。步驟1 發(fā)布RemoteApp程序，請參考第3.4章節(jié)。步驟2 將生成的rdp文件下載至本地，然后登錄運維審計系統(tǒng)。步驟3 進入資產/主機管理頁面。圖4-2 主機管理頁面示意圖步驟4 單擊<添加主機>進入配置頁面，填寫應用服務器的IP、名稱、RD協(xié)議。圖4-3 添加主機頁面示意圖步驟5 單擊<添加主機>后提示成功添加主機。圖4-4 成功添加主機示意圖步驟6 單擊<給這臺主機添加主機帳戶>進入主機帳戶管理頁面。圖4-5 主機賬戶管理頁面示意圖步驟7 單擊<新建主機帳戶>彈出新建主機帳戶窗口，添加RDP協(xié)議、自動登錄、帳戶和密碼。圖4-6 新建主機帳戶頁面示意圖步驟8 單擊<確定>即可。步驟9 進入資產/應用托管頁面。圖4-7 應用托管頁面示意圖步驟10 單擊<添加應用>進入添加應用頁面。圖4-8 添加應用頁面示意圖步驟11 單擊<上傳文件>，找到下載至本地終端的rdp文件。圖