【IT168 虚拟化频道】通过远程桌面服务，组织可以为用户提供随时随地通过 Internet 或 Intranet 访问任何 Windows 设备上标准 Windows 程序的权限。RemoteApp 则可帮助您配置程序，使用户可以通过远程桌面服务远程访问程序，就如同最终用户在本地计算机上运行这些程序一样。这些程序称为 RemoteApp 程序。

　　通过本系列动手实验，您可以了解到：如何安装和配置远程桌面服务器、安装和配置远程桌面连接代理、安装和配置远程桌面网关、安装和配置远程桌面Web访问、安装和配置RemoteApp 应用程序。

　　虚拟机环境准备

　　该动手实验室将使用到如下虚拟机：

　　虚拟机1：R2Lab-BAL-DC-01

　　虚拟机1登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机2：R2Lab-BAL-GW-01

　　虚拟机2登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机3：R2Lab-BAL-SRV-01

　　虚拟机3登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机4：R2Lab-BAL-SRV-02

　　虚拟机4登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机5：R2Lab-WAS-CLI-01

　　虚拟机5登录密码：Administrator口令Passw0rd!

　　在该练习中您将要配置两台预先指定的服务器用于宿主RemoteApp应用程序。接着您将会在每台服务器上发布应用程序。然后，您将安装和配置远Remote Desktop Connection Broker和Remote Desktop Web Access，并且配置它们用于在面向用户的单一的Web页面上整合所有的应用程序。

　　任务A：检查预定义的组成员关系

　　步骤：

　　在该任务中您将查看活动目录并且浏览现存的组。这些组被创建用于简化该实验中的服务的部署。一般来说，当您需要为资源配置权限用于简化管理的时候总是推荐使用全局组。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-DC-01，来开始本任务

　　" 在活动目录中还有别的组，在本次试验中并没有用到

　　1. 在Start菜单中的Administrative Tools中，点击Active Directory Users and Computers

　　2. 定位到Managed Objects OU

　　3. 检查RD Session Brokers组中的组成员关系

　　" 该组中，包括了所有运行着Remote Desktop Session Broker服务器角色的计算机

　　4. 检查RD RemoteApp Servers组中的组成员关系

　　" 该组中包括了所有运行着Remote Desktop Session Host--用于宿主Remote Desktop RemoteApp应用程序--的计算机

　　5. 检查RD WebAccess Servers 组中的组成员关系

　　" 该组中包括了所有运行着Remote Desktop Web Access的计算机

　　6. 检查RD RemoteApp Users 组中的成员关系

　　" 该组中包括了所有使用Remote Desktop RemoteApp应用程序的用户

　　7. 关闭 Active Directory Users and Computers

　　任务B：在BAL-SRV-01上发布Microsoft Office应用程序

　　步骤：

　　在该任务中，您将要在一台RD RemoteApp服务器上发布Microsoft Office

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-01，来开始本任务

　　1. 在任务栏，点击Server Manager.

　　2. 在Server Manager中，扩展Roles/Remote Desktop Services并且接着点击RemoteApp Manager (BAL-SRV-01).

　　3. 在Actions pane中，点击Add RemoteApp Programs.

　　4. 点击 Next.

　　5. 勾选Microsoft Office Word 2007, Microsoft Office PowerPoint 2007, 并且接着点击Next.

　　" Microsoft PowerPoint and 和Microsoft Word在该实验中被用来代表在一台终端服务器上提供的应用程序，实际中这可能是任何其它的业务程序。

　　6. 点击Finish.

　　" 您可以简单地发布出现在开始菜单中的，或者在文件系统中拥有一个.EXE的任何应用程序。

　　任务C：配置BAL-SRV-01上的组成员关系

　　步骤：

　　在该任务中，您将要配置Remote Desktop RemoteApp服务器上的两个组的成员关系

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在 Server Manager中，定位到Configuration/Local Users and Groups/Groups.

　　2. 双击TS Web Access Computers.

　　" TS Web Access计算机组中包括了所有运行着TS Web Access的计算机。这使得TS Web Access计算机能够显示一个RemoteApp应用程序的列表。

　　3. 点击Add.

　　4. 输入RD WebAccess Servers 并且接着点击OK.

　　5. 点击OK.

　　6. 双击Remote Desktop Users.

　　" 该组中包括了允许通过Remote Desktop登录的用户。您必须被许可通过Remote Desktop登录以使用RemoteApp应用程序。

　　7. 点击Add.

　　8. 输入RD RemoteApp Users并且接着点击OK.

　　9. 点击OK.
 

　　任务D：在BAL-SRV-02上发布Microsoft Office应用程序

　　步骤：

　　在该任务中，您将要在其它的Remote Desktop Server上发布Microsoft Excel。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-02，来开始本任务

　　1. 在Taskbar上，点击Server Manager.

　　2. 在Server Manager中，扩展Roles/Remote Desktop Services并且接着点击RemoteApp Manager (BAL-SRV-02).

　　3. 在Actions pane中,点击Add RemoteApp Programs.

　　4. 点击Next.

　　5. 勾选Microsoft Office Excel 2007并且接着点击Next.

　　" 通过在一台单独的RemoteApp服务器上发布Microsoft Office Excel 2007，您正基于应用程序分散工作负载。

　　6. 点击Finish.

　　尽管在该试验中您在两台服务器上发布了两个独立的Microsoft Office 2007应用程序，通常情况下并不推荐这么做。为了获得最好的性能和可靠性，推荐您不要将一个软件包中的应用程序分开，比如将Microsoft Office软件包。之所以在该实验室中这么做，是为了简化实验环境。

　　任务E：在BAL-SRV-02上配置组成员关系

　　步骤：

　　在该任务中您将要在Remote Desktop RemoteApp上配置两个组的组成员关系。这些组总成员账户被许可进行发布应用程序所需的任务。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-02，来开始本任务

　　1. 在Server Manager中，定位到Configuration/Local Users and Groups/Groups.

　　" 在企业中，您可以使用Group Policy中的Restricted Groups功能来自动地在多台服务器之间一次性发布该组的成员。

　　2. 双击TS Web Access Computers.

　　3. 点击Add.

　　4. 输入RD Web Access Servers并且接着点击OK.

　　" 这是一个全局组，其中包括了所有的RD Web Access服务器。该组在缺省状态下并不存在，是为了完成该实验而被创建的。

　　5. 点击OK.

　　6. 双击Remote Desktop Users.

　　7. 点击Add.

　　8. 输入RD RemoteApp Users并且接着点击OK.

　　" 这是一个包括了所有的RD RemoteApp用户的全局组。该组在缺省状态下并不存在，是为了完成该实验而被创建的。

　　9. 点击OK.
 

　　任务F：配置Remote Desktop Connection Broker用于整合RemoteApp应用程序

　　步骤：

　　在该任务中，您将要在BAL-GW-01 上配置Remote Desktop Connection Broker用于整合在两台Remote Desktop服务器上的RemoteApp应用程序

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务

　　1. 在Taskbar上，点击Server Manager.

　　2. 在Server Manger中，扩展Roles/Remote Desktop Services/Remote Desktop Connection Manager.

　　3. 在Remote Desktop Connection Manager中，点击RemoteApp Sources并且接着在Actions pane中，点击Add RemoteApp Source.

　　4. 键入BAL-SRV-01并且接着点击Add.

　　5. 在Actions pane中，点击Add RemoteApp Source.

　　6. 键入BAL-SRV-02并且接着点击Add.

　　7. 在Server Manager中，定位到Configuration/Local Users and Groups/Groups.

　　8. 双击Session Broker Computers.

　　" Session Broker Computers中包括了所有的将要被Remote Desktop Connection Broker管理的计算机.

　　9. 点击Add.

　　10. 键入RD Session Brokers并且接着点击OK.

　　11. 点击OK.

　　任务G：配置Remote Desktop Web Access使用Publishing Server

　　步骤：

　　在该任务中您将要配置Remote Desktop Web Access用以提供在公司中所有可用的Remote Desktop RemoteApp应用程序的列表。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Server Manager是开着的。

　　12. 在Server Manager中，定位到Configuration/Local Users and Groups/Groups.

　　" 在企业中，您可以使用Group Policy中的Restricted Groups功能来自动地在多台服务器之间一次性发布该组的成员。

　　13. 双击TS Web Access Administrators.

　　14. 点击Add.

　　15. 键入Administrator并且接着点击OK.

　　16. 点击OK.

　　" 账户必须被添加到本地TS Web Access Administrators组中，用以确保Remote Desktop Web Access页面将会正确地显示"配置"标签。

　　17. 双击TS Web Access Computers.

　　18. 点击Add.

　　19. 键入RD WebAccess Servers并且接着点击OK.

　　20. 点击OK以关闭TS Web Access Computers Properties对话框.

　　21. 在Start 中，点击Command Prompt.

　　22. 在Command Prompt中，键入如下命令，并且接着按ENTER.

　　NET STOP TSCPUBRPC && NET START TSCPUBRPC

　　" TSCPUBRPC服务必须被重新启动用以确保Remote Desktop Services立即检测到您刚才所修改的组成员关系.

　　23. 在Start上，定位到Administrative Tools/Remote Desktop Services并且接着点击Remote Desktop Web Access Configuration.

　　24. 在 Internet Explorer中，点击Continue to this website (not recommended).

　　25. 使用用户名Woodgrovebank\Administrator，口令Passw0rd!，登录到Enterprise Remote Access首页

　　26. 在Configuration中，Select the source to use的旁边，点击An RD Connection Broker server.

　　27. 在Source name中，键入BAL-GW-01.woodgrovebank.com并且接着点击OK.

　　" Remote Desktop Centralized Publishing设置告诉Remote Desktop Web Access页面从Remote Desktop Connection Broker计算机中取得集中的RemoteApp应用程序列表.
 

　　任务H：测试Remote Desktop Connection Broker

　　步骤：

　　在该任务中，您将要测试Remote Desktop Connection Broker的配置，用以验证您同时能够看到Microsoft Office Word 2007和Microsoft Office Excel 2007出现在TS Web Access页面当中。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Internet Explorer中的Enterprise Remote Access首页一直是开着的。

　　1. 在Enterprise Remote Access首页中，点击Sign out

　　2. 使用用户名Woodgrovebank\donhall，口令Passw0rd!， 登录到Enterprise Remote Access首页

　　3. 在Remote Desktop Web Access中，点击RemoteApp Programs.

　　4. 点击Microsoft Office Word 2007.

　　注意安全警告。您将要在接下来的练习中，通过实现RDP文件签名来修正这个警告。

　　" 应用程序的发布者被列为unkown是因为这个RDP文件没有被签名。

　　5. 点击Connect.

　　6. 以Woodgrovebank\DonHall身份使用口令Passw0rd!登录

　　" 创建这个连接需要几分钟的时间。当连接完成之后，Microsoft Office Word 2007将会出现。

　　" Word 在BAL-SRV-01 Remote Desktop Services服务器上被发布.

　　7. 点击OK 来确认用户名和头衔.

　　8. 点击Next 并且接着点击I don't want to use Microsoft Update.

　　9. 点击Finish.

　　10. 关闭Microsoft Office Word 2007.

　　11. 在Enterprise Remote Access首页上，点击Microsoft Office Excel 2007.

　　12. 点击 Connect.

　　13. 以Woodgrovebank\DonHall的身份登录，使用口令Passw0rd!

　　" 创建这个连接需要几分钟的时间。当连接完成之后，Microsoft Office Excel 2007将会出现。

　　" Excel在BAL-SRV-02 Remote Desktop Services服务器上被发布.

　　14. 点击OK确认用户名和头衔.

　　15. 点击Next并且接着点击I don't want to use Microsoft Update.

　　16. 点击Finish.

　　17. 关闭Microsoft Office Excel 2007.
 

　　任务I:配置RemoteApp Application Filtering

　　步骤：

　　在该任务中，您将要实现Remote Desktop RemoteApp中新的Application Filtering功能。Application Filtering使得您能够通过放置在每个Remote Desktop RemoteApp应用程序上的访问控制列表，限制个人用户看到的应用程序

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services并且接着点击RemoteApp Manager (BAL-SRV-01).

　　2. 在RemoteApp Programs中，点击Microsoft Office Word 2007并且接着在Actions pane中，点击Properties.

　　3. 在 User Assignment 标签上，点击Specified domain users and domain groups.

　　4. 点击Add.

　　5. 键入Office Word Users并且接着点击OK.

　　" 您可以列出个人用户或者全局组

　　" 全局组是推荐的方式

　　6. 点击OK以关闭RemoteApp Properties.

　　7. 切换到BAL-GW-01.

　　8. 在 Internet Explorer中，按F5刷新页面.

　　9. 在Enterprise Remote Access首页中，查看可用的应用程序.

　　" Microsoft Office Word没有被列为可用的应用程序.

　　10. 切换到BAL-DC-01.

　　11. 在Start 菜单中，在Administrative Tools中，点击Active Directory Users and Computers.

　　12. 定位到Managed Objects OU.

　　13. 双击Office Word Users.

　　14. 在Members标签中，点击Add.

　　15. 键入Don Hall 并且接着点击OK.

　　16. 点击OK.

　　17. 切换到BAL-GW-01.

　　18. 在Intenet Explorer中，在Enterprise Remote Access 门户中，按F5刷新，并且接着查看可用的程序.

　　" Microsoft Office Word 现在被列为一个可提供的程序.

　　由于RD Web Access服务器的缓存的原因，您可能需要等至少5分钟之后按F5才能够看到额外的应用程序图标被显示。

　　" 用户过滤不能够提供RemoteApp应用程序的安全性，而是能够过滤用户能够看见的应用程序。
 

　　任务J：在Remote Desktop RemoteApp上实现RDP文件签名

　　步骤：

　　在该任务中，您将要为Remote Desktop RemoteApp实现RDP文件签名。Remote Desktop File Signing能够确保用户连接到Remote Desktop RemoteApp服务器的时候收到确认信息--应用程序是发布自一个受信的源的。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services 并且接着点击RemoteApp Manager (BAL-SRV-01).

　　2. 在RemoteApp Manager中的Actions pane中，点击Digital Signature Settings.

　　3. 勾选Sign with a digital certificate并且接着点击Change.

　　4. 点击OK来接受刚发给本计算机的计算机证书.

　　5. 点击OK来关闭RemoteApp Deployment Settings 对话框

　　" 您可以在现在可选地在BAL-SRV-02上重复这些步骤用来实现那台服务器上的RDP签名。对于本实验的正确完成来说，该步骤并不是必须的。

　　任务K：验证RDP签名

　　步骤：

　　在该任务中您将连接到一个TS RemoteApp应用程序，并且验证RDP文件签名正在工作。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Internet Explorer仍然开着。

　　1. 在Enterprise Remote Access门户中，点击Sign out

　　2. 使用用户名Woodgrovebank\donhall，口令Passw0rd!，登录到Enterprise Remote Access门户

　　3. 在Enterprise Remote Access门户中，点击RemoteApp Programs.

　　4. 点击Microsoft Office Word 2007.

　　" 注意到现在应用程序的发布者已经被列出

　　" 如果发布者没有被列出，按F5重新加载页面，并且重复上述操作

　　5. 点击Cancel.