如何使用Server 2012 R2建置遠端桌面服務

非網域環境請點以下連結：

如何在『非網域環境』下使用Server 2012 R2建置遠端桌面服務

從Server 2008 R2開始，原本的終端機服務Terminal Services (TS)，重新命名為遠端桌面服務Remote Desktop Services (RDS)，目前從微軟公開的文件上，大都是說明2008 R2的佈署建置操作，且2012的操作介面和2008 R2有很大的不同，造成參考官方文件會有找不到功能做不下去的情況。

目前這篇教學是針對在網域環境下做操作，其實RDS也是可以在非網域的環境下做建置，使用工作群組(Workgroup)的架構做使用，其建置操作上是很相近的，針對不同架構的注意事項可以參考 Best practices for setting up Remote Desktop Licensing (Terminal Server Licensing) across Active Directory Domains/Forests or Workgroup。

Workgroup：

因為沒有網域環境，所以無法做使用者的驗證，在Workgroup環境下只能使用Device CAL，沒有辦法使用User CAL，但在RDS授權伺服器還是可以新增User CAL進去，但只是浪費授權。

User CAL的授權使用和報告也沒有辦法在Workgroup環境下使用。

Workgroup環境下可以將RDS Host和RDS licensing server安裝在同一部Server上，也可以分開存放，但要注意的是兩部主機要有網路相同，才可以正常運作。

Domain：

可以同時安裝Device CAL和User CAL在RDS授權伺服器上。

在網域的環境下必須將RDS授權伺服器和Network Service這個帳號都設定是Terminal Server License Servers群組下的成員，

另外要注意的就是Client Access License (CAL)的購買數量和類型，關於Device CAL或是User CAL的差異，可以自行衡量目前環境的需求做購買，授權的差異可以從以下影片

[embed]https://www.youtube.com/embed/UyfHOrhM_7U[/embed]

了解使用上的差異，但詳細授權還是需要詢問微軟客服才能得到最正確的消息。如果需要將已經建置好的RDS授權做轉移請參考Server-如何轉移RDS授權伺服器

以下操作教學是將RDS建置在網域環境下，並將RDS授權伺服器(RDS licensing server)和RDS主機(RDS Host)放在同台Server下，並使用Device CAL做啟動。

步驟一：啟用RDS授權伺服器

1.首先新增伺服器角色，勾選 [ 遠端桌面服務 ]

2.在角色服務上勾選 [ 遠端桌面工作階段主機 ] 和 [ 遠端桌面授權 ]

3.安裝完成中間需要重新啟動一次

4.在伺服器管理員開啟 [ 遠端桌面授權管理員 ]

5.可以看到目前S2012R2-01這個伺服器授權是尚未啟用的狀態，必須將這部伺服器和微軟註冊成RDS授權伺服器，才可以再新增CAL並管理後續CAL授權

6.點選 [ 啟用伺服器 ]

7.開啟啟用伺服器精靈

8.如果這部伺服器有對外網路且可以使用SSL連線可以選擇透過 [ 自動連線 ] 的方式做啟動，如果沒有可以選擇透過電話啟動

9.輸入公司相關資訊

10.這畫面可以選擇填寫全部空白也可以

11.完成啟用RDS授權伺服器，接下來是安裝CAL授權

步驟二：安裝CAL授權

1.開啟授權精靈

2.選擇購買的授權方案，目前示範新增 [ 授權套件(零售購買) ]

3.授權套件的輸入類似作業系統的授權一共25碼，這邊示範輸入Device CAL和User CAL，可以同時新增到RDS授權伺服器

4.新增完畢，提示安裝成功

5.如果是看到以下錯誤畫面，提示 [ 該授權碼已啟用 ]，表示輸入的CAL授權，已經在其他RDS授權伺服器上啟用過，無法重複啟用，正確的授權移轉必須使用移轉工具來達成

6.授權安裝完成，可以看到目前已經安裝的授權總數和可用數量，但授權伺服器上有驚嘆號，表示還有其他設定未完成，點選 [ 檢閱設定 ]

7.提示RDS授權伺服器和Network Service還沒有加入Terminal Server License Servers群組中，所以無法發出User CAL且無法追蹤或報告User CAL的使用量，點選 [ 加入群組 ]

8.需要有Domain Admins權限才可以進行操作

9.新增完成

10.檢查確實加入成功

11.設定完畢提示需要重新啟動 [ 遠端桌面授權服務 ] 才可以正常運作

12.在服務下將 [ Remote Desktop Licensing ] 重新啟動

13.另外還必須重新啟動 [ Remote Desktop Services ] 這個服務，實作中沒有提示必須重新啟動這個服務，導致CAL授權還是無法正常發出，這裡是很重要必須注意的小步驟，我卡在這個環節好幾個小時，所以當授權服務再次異動後，就必須重新啟動 [ Remote Desktop Licensing ] 、 [ Remote Desktop Services ] 這兩個服務

14.設定完成

15.伺服器狀態已經沒有驚嘆號，且啟用狀態是 [ 已啟用 ]，以上是CAL授權的安裝步驟

步驟三：遠端桌面主機佈署RDS授權和設定

接下來針對遠端桌面主機(RDS Host)做設定，這裡要注意的是Policy是在本機群組原則下設定，所以必須注意是否有其他網域群組原則設定取代的問題。

1.使用gpedit.msc開啟 [ 本機群組原則編輯器 ]，找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 授權 ]

2.將 [ 使用指定的遠端桌面授權伺服器 ] 設定 [ 已啟用 ]，[ 要使用的授權伺服器 ] 可以輸入RDS授權伺服器的IP、FQDN、NETBIOS

3.將 [ 設定遠端桌面授權模式 ] 設定 [ 已啟用 ]，指定授權模式是 [ 每個裝置 ] 或 [ 每位使用者 ]，這裡示範選擇 [ 每個裝置 ]，一部RDS授權伺服器同一時間可以提供兩種授權模式，但需要有兩部遠工作階段主機伺服器(RDS Host)，分別指向同一部RDS授權伺服器，但授權模式分開設定即可

4.使用gpedit.msc開啟 [ 本機群組原則編輯器 ]，找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 連線 ]，開啟 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ]

5.將 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ] 設定 [ 已停用 ]，這個設定並非一定要停用，如果是 [ 已停用 ] 同一位使用者就可以同時在不同的電腦上，同時連線到同一部RDS Host且不會中斷其他連線，但也會造成同一位使用者建立多個工作階段(Session)，消耗伺服器資源

6.使用gpedit.msc開啟 [ 本機群組原則編輯器 ]，找到位置 [ 電腦設定 ] -> [ Windows設定 ] -> [ 安全性設定 ] -> [ 本機原則 ] -> [ 使用者權限指派 ]，開啟 [ 允許透過遠端桌面服務登入 ]

7.將 [ 允許透過遠端桌面服務登入 ] 新增群組 [ Remote Desktop Users ]，需要遠端桌面的使用者都需要加入 [ Remote Desktop Users ] 這個群組中，才可以有權限進行登入，但在Server 2012預設是沒有將 [ Remote Desktop Users ] 這個群組允許遠端桌面的登入權限

8.如果沒有做以上動作，就會發現雖然將使用者加入 [ Remote Desktop Users ] 群組，但登入時還是會出現沒有權限的錯誤訊息 [ 您必須擁有透過「遠端桌面服務」登人的權限，才能從遠端登人。根據預設值，Administrators群組的成員擁有此權限。若您所屬群組沒有此權限，或該權限已從Administrators群組移除，則必須要求系統管理員手動將此權限授與您。 ]

9.群組原則設定完畢，開啟命令提示字元輸入 [ gpupdate /force ]，強制更新原則設定

10.開啟 [ 遠端桌面授權診斷程式 ]，檢查是否有其他問題警告，如果沒有會出現 [ 遠端桌面授權診斷程式並未找出任何需要報告的問題 ]

步驟四：實際登入測試

1.將使用者Danny加入 [ Remote Desktop Users ] 群組，確認有遠端桌面登入的權限

2.登入後可以從RD授權管理員看到，多了一個 [ 臨時的RDS每一裝置的CAL ]，且授權方案是 [ 暫存 ]，當使用「每一裝置」授權模式，且用戶端電腦或裝置首次連線到 RD 工作階段主機伺服器時，預設會發行臨時授權給用戶端電腦或裝置。用戶端電腦或裝置第二次連線到 RD 工作階段主機伺服器時，如果已啟用授權伺服器並且有足夠的 RDS 每一裝置的 CAL 可以使用，授權伺服器將發行永久的 RDS 每一裝置的 CAL 給用戶端電腦或裝置。