【IT168 虚拟化频道】通过远程桌面服务，组织可以为用户提供随时随地通过 Internet 或 Intranet 访问任何 Windows 设备上标准 Windows 程序的权限。RemoteApp 则可帮助您配置程序，使用户可以通过远程桌面服务远程访问程序，就如同最终用户在本地计算机上运行这些程序一样。这些程序称为 RemoteApp 程序。

　　通过本系列动手实验，您可以了解到：如何安装和配置远程桌面服务器、安装和配置远程桌面连接代理、安装和配置远程桌面网关、安装和配置远程桌面Web访问、安装和配置RemoteApp 应用程序。

　　虚拟机环境准备

　　该动手实验室将使用到如下虚拟机：

　　虚拟机1：R2Lab-BAL-DC-01

　　虚拟机1登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机2：R2Lab-BAL-GW-01

　　虚拟机2登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机3：R2Lab-BAL-SRV-01

　　虚拟机3登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机4：R2Lab-BAL-SRV-02

　　虚拟机4登录密码：Woodgrovebank\Administrator口令Passw0rd!

　　虚拟机5：R2Lab-WAS-CLI-01

　　虚拟机5登录密码：Administrator口令Passw0rd!

　　在该练习中，您将要完成Woodgrove Bank的配置工作，通过实现一个Remote Desktop Gateway。这使得您在上一个练习中发布的应用程序，能够在Internet上被用户所使用。您将要安装Remote Desktop Gateway角色服务并且接着同时配置Remote Desktop Gateway和Remote Desktop RemoteApp服务器用来安全地为外网用户提供应用程序。

　　任务A：为Remote Desktop Gateway登记一个SSL证书

　　步骤：

　　在该任务中您将要登记一个新的用于Remote Desktop Gateway 服务器的SSL证书。该SSL证书将拥有一个自定义的标题名字，被配置为匹配外部的名字，用户将会使用这个名字连接到Remote Desktop Gateway服务器。对于Woodgrove Bank来说，名字是Gateway.woodgrovebank.com。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务

　　1. 在Start菜单中，点击Run，键入MMC并且接着按ENTER.

　　2. 在File 菜单下，点击Add/Remove Snap-in.

　　3. 点击 Certificates 并且接着点击Add.

　　4. 点击Computer account, 点击Next并且接着点击Finish.

　　5. 点击OK 关闭Add or Remove Snap-ins对话框.

　　6. 扩展Certificates (Local Computer) 并且接着点击Personal.

　　7. 在 Action pane中，点击More Actions并且接着点击All Tasks\Request New Certificate.

　　8. 在Certificate Enrollment 对话框中，点击Next.

　　9. 点击Next 接受缺省的enrollment policy.

　　10. 勾选SSL Certificate并且接着点击More information is required to enroll for this certificate. Click here to configure settings.

　　" 名为SSL Certificate的证书模板是之前创建的。它是一个基本的服务器验证证书，需要在证书请求中提供标题名字。

　　11.  在Certificate Properties 对话框的Subject Name节中的Type字段中，选择Common Name.

　　12. 在Subject name节中的Value字段中，键入gateway.woodgrovebank.com, 点击Add并且接着点击OK.

　　" 为了确保来自外部客户端SSL连接不发生错误，标题的名字必须匹配外部客户端将要使用的连接到这台服务器的外部名称。

　　13. 点击Enroll并且接着点击Finish.
 

　　任务B：为Remote Desktop Gateway配置SSL设置

　　步骤：

　　在该任务中您将要配置Remote Desktop Gateway使用您刚安装到BAL-GW-01上的自定义服务器验证证书。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services/RD Gateway Manager并且接着点击BAL-GW-01 (Local).

　　2. 在Actions pane中，点击Properties.

　　3. 在BAL-GW-01 Properties窗口中选择SSL Certificate标签.

　　4. 点击 Import Certificate.

　　5. 在证书列表中，点击gateway.woodgrovebank.com 并且接着点击Import.

　　6. 点击OK.

　　任务C：创建一个Connection Authorization Policy

　　步骤：

　　在该任务中您将要配置两个必备的用于使得Remote Desktop Gateway接受连接的策略中的一个。Connection Authorization Policy控制了哪个用户能够连接到Remote Desktop Gateway Server以及在那些连接上的要求和限制。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services/RD Gateway Manager/BAL-GW-01 (Local)/Policies/Connection Authorization Policies.

　　2. 在 Actions pane中，点击Create New Policy并且接着点击Wizard.

　　3. 点击Next.

　　4. 键入Authorized Remote Users 并且接着点击Next.

　　" 只有该组的成员被允许使用这个Remote Desktop Gateway计算机创建连接

　　5. 在User group membership (required)节中，点击Add Group, 键入RD RemoteApp Users并且接着点击OK.

　　6. 点击Next.

　　7. 点击Next接受缺省的设备重定向设置.

　　8. 在Set Session Timeouts页面，点击Next 并且接着点击Finish.

　　9. 点击Close确认策略的创建.
 

　　任务D：创建一个Resource Authorization Policy

　　步骤：

　　在该任务中您将要配置使用Remote Desktop Gateway所必须的第二条策略。Resource Authorization Policy控制了Remote Desktop Gateway计算机将要许可连接的内部资源。在本场景中，该策略将要许可到配置过的RemoteApp服务器的连接。如果您有多条Resource Authorization Policie，客户端将会使用它们有权使用的第一条。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services/RD Gateway Manager/BAL-SRV-01 (Local)/Policies/Resource Authorization Policies.

　　2. 在Actions pane中，点击Create New Policy并且接着点击Wizard.

　　3. 点击Next.

　　4. 键入Authorized Target Computers 并且接着点击Next.

　　5. 点击Add Group, 键入RD RemoteApp Users 并且接着点击OK.

　　6. 点击Next.

　　7. 确保 Select an Active Directory Domain Services network resource group被选中，并且接着点击Browse.

　　8. 键入 RD RemoteApp Servers 并且接着点击OK.

　　9. 点击Next.

　　10. 在Select Allowed TCP Ports页面中，点击Next并且接着点击Finish.

　　11. 点击Close确认策略的创建.

　　任务E：配置RemoteApp 服务器使用Remote Desktop Gateway用于RemoteApp连接

　　步骤：

　　在该任务中，您将要配置两台Remote Desktop RemoteApp计算机和新配置的Remote Desktop Gateway一起工作。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-SRV-01，来开始本任务，并且确保Server Manager是开着的

　　1. 在Server Manager中，定位到Roles/Remote Desktop Services并且接着点击RemoteApp Manager (BAL-SRV-01).

　　2. 在Actions pane中，点击RD Gateway Settings.

　　3. 点击Use these RD Gateway server settings并且接着在Server name字段中键入gateway.woodgrovebank.com.去掉对Bypass RD Gateway server for local addresses的选择

　　" 您可以配置客户端自动检测网关。这使得一个客户在网络之外可以使用一个网关，而在网络内部可以使用直接连接的方式。这需要在Group Policy中进行额外的设置步骤，已经超出了本次实验的范围。

　　4. 点击OK.

　　" 如果OK按钮不能使用，取消这个对话框，刷新控制台视图并且重新开始本任务。

　　5. 在BAL-SRV-02计算机上重复步骤1到4。
 

　　任务F：WAS-使用Remote Desktop Gateway连接到发布的RemoteApps

　　步骤：

　　在本任务中，您将要测试由Remote Desktop Web Access, Remote Desktop RemoteApp, Remote Desktop Connection Broker和 and Remote Desktop Gateway一起提供的功能。通过使用Remote Desktop Gateway and 和Remote Desktop Web Access从一个外部客户端计算机连接到一个发布了的应用程序。

　　"  以Administrator的身份，口令Passw0rd!登录到WAS-CLI-01，来开始本任务

　　1. 使用Internet Explorer定位到https://gateway.woodgrovebank.com/rdweb.

　　" 因为是第一次浏览该页面，您将会被提示安装Remote Desktop Services Web Access Control。请您根据相应的Information Bar的内容安装该控件。

　　2. 以Woodgrovebank\Donhall身份，口令Passw0rd!，登录到Enterprise Remote Access门户

　　3. 点击Microsoft Office Word 2007.

　　" 注意到网关服务器被列在了连接属性当中

　　4. 点击Connect.

　　5. 在Windows Security对话框中，以Woodgrovebank\Donhall 登录，使用口令Passw0rd!

　　6. 保持Microsoft Office Word 2007运行着即可。

　　任务G：监视和管理Remote Desktop Gateway连接

　　步骤：

　　在该任务中，您将要在Remote Desktop Gateway计算机上进行一些日常的管理任务，包括了为已经连接的用户设置维护消息以及断开一个会话。

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务

　　1. 在Start中，定位到Administrative Tools/Remote Desktop Services并且接着点击Remote Desktop Gateway Manager.

　　2. 展开BAL-GW-01 (Local)并且接着点击Monitoring.

　　" 在monitoring pane中可以看到一个来自于Don Hall的活动的连接

　　如果您没有在Actions pane见到一个连接，点击Refresh

　　3. 点击BAL-GW-01 (Local) 并且接着在Actions pane中，点击, Properties.

　　4. 点击Messaging标签.

　　5. 勾选Enable system message.

　　6. 在Create a message…中，键入This server will be taken offline for maintenance并且接着点击OK.

　　" 该消息将会在缺省情况下，一个小时的时间，被显示给所有当前连接着的用户和新连接的用户。您可以根据您的需要自定义时间设置。

　　7. 切换到WAS-CLI-01.

　　8. 点击Close 忽略消息文本

　　您可能需要等待约一分钟左右才会看到该消息出现。

　　9. 切换到 BAL-GW-01.

　　10. 在BAL-SRV-01下，点击Monitoring.

　　11. 在Monitoring pane中，点击active session for Don Hall 并且接着在Actions pane中点击Disconnect This Connection.

　　12. 点击Yes.

　　13. 切换回WAS-CLI-01.

　　" 注意到Microsoft Office Word 2007已经关闭了。

　　14.  RemoteApp Disconnected 对话框中的OK.
 

　　任务H：打开Welcome Message的显示

　　步骤：

　　" 以Woodgrovebank\Administrator的身份，口令Passw0rd!登录到BAL-GW-01，来开始本任务

　　1. 点击Start接着在Search programs and files中键入Notepad并且接着按ENTER.

　　2. 键入"Authorized Use Only" 并且接着讲该文件保存为c:\Message.txt.

　　3. 切换到RD Gateway Manager Console并且点击BAL-GW-01 (Local), 并且接着在Actions pane中点击Properties.

　　4. 点击Messaging标签.

　　5. 勾选Enable logon message.

　　6. 点击Browse.

　　7. 定位到c:\Message.txt并且接着点击Open.

　　8. 点击OK.

　　9. 切换到WAS-CLI-01.

　　10. 点击 Microsoft Office Word 2007.

　　" 注意Gateway Server已经被列在了连接属性当中

　　11. 点击Connect.

　　12. 在Windows Security对话框中，以Woodgrovebank\Donhall 身份登录，使用口令Passw0rd!

　　13. 点击I understand and agree to the terms of this policy 并且接着点击OK.