如何使用Server 2012 R2建置遠端桌面服務
如何使用Server 2012 R2建置遠端桌面服務
非網域環境請點以下連結:
如何在『非網域環境』下使用Server 2012 R2建置遠端桌面服務
從Server 2008 R2開始,原本的終端機服務Terminal Services (TS),重新命名為遠端桌面服務Remote Desktop Services (RDS),目前從微軟公開的文件上,大都是說明2008 R2的佈署建置操作,且2012的操作介面和2008 R2有很大的不同,造成參考官方文件會有找不到功能做不下去的情況。
目前這篇教學是針對在網域環境下做操作,其實RDS也是可以在非網域的環境下做建置,使用工作群組(Workgroup)的架構做使用,其建置操作上是很相近的,針對不同架構的注意事項可以參考 Best practices for setting up Remote Desktop Licensing (Terminal Server Licensing) across Active Directory Domains/Forests or Workgroup。
Workgroup:
- 因為沒有網域環境,所以無法做使用者的驗證,在Workgroup環境下只能使用Device CAL,沒有辦法使用User CAL,但在RDS授權伺服器還是可以新增User CAL進去,但只是浪費授權。
- User CAL的授權使用和報告也沒有辦法在Workgroup環境下使用。
- Workgroup環境下可以將RDS Host和RDS licensing server安裝在同一部Server上,也可以分開存放,但要注意的是兩部主機要有網路相同,才可以正常運作。
Domain:
- 可以同時安裝Device CAL和User CAL在RDS授權伺服器上。
- 在網域的環境下必須將RDS授權伺服器和Network Service這個帳號都設定是Terminal Server License Servers群組下的成員,
另外要注意的就是Client Access License (CAL)的購買數量和類型,關於Device CAL或是User CAL的差異,可以自行衡量目前環境的需求做購買,授權的差異可以從以下影片
[embed]https://www.youtube.com/embed/UyfHOrhM_7U[/embed]
了解使用上的差異,但詳細授權還是需要詢問微軟客服才能得到最正確的消息。如果需要將已經建置好的RDS授權做轉移請參考Server-如何轉移RDS授權伺服器
以下操作教學是將RDS建置在網域環境下,並將RDS授權伺服器(RDS licensing server)和RDS主機(RDS Host)放在同台Server下,並使用Device CAL做啟動。
步驟一:啟用RDS授權伺服器
1.首先新增伺服器角色,勾選 [ 遠端桌面服務 ]
2.在角色服務上勾選 [ 遠端桌面工作階段主機 ] 和 [ 遠端桌面授權 ]
3.安裝完成中間需要重新啟動一次
4.在伺服器管理員開啟 [ 遠端桌面授權管理員 ]
5.可以看到目前S2012R2-01這個伺服器授權是尚未啟用的狀態,必須將這部伺服器和微軟註冊成RDS授權伺服器,才可以再新增CAL並管理後續CAL授權
6.點選 [ 啟用伺服器 ]
7.開啟啟用伺服器精靈
8.如果這部伺服器有對外網路且可以使用SSL連線可以選擇透過 [ 自動連線 ] 的方式做啟動,如果沒有可以選擇透過電話啟動
9.輸入公司相關資訊
10.這畫面可以選擇填寫全部空白也可以
11.完成啟用RDS授權伺服器,接下來是安裝CAL授權
步驟二:安裝CAL授權
1.開啟授權精靈
2.選擇購買的授權方案,目前示範新增 [ 授權套件(零售購買) ]
3.授權套件的輸入類似作業系統的授權一共25碼,這邊示範輸入Device CAL和User CAL,可以同時新增到RDS授權伺服器
4.新增完畢,提示安裝成功
5.如果是看到以下錯誤畫面,提示 [ 該授權碼已啟用 ],表示輸入的CAL授權,已經在其他RDS授權伺服器上啟用過,無法重複啟用,正確的授權移轉必須使用移轉工具來達成
6.授權安裝完成,可以看到目前已經安裝的授權總數和可用數量,但授權伺服器上有驚嘆號,表示還有其他設定未完成,點選 [ 檢閱設定 ]
7.提示RDS授權伺服器和Network Service還沒有加入Terminal Server License Servers群組中,所以無法發出User CAL且無法追蹤或報告User CAL的使用量,點選 [ 加入群組 ]
8.需要有Domain Admins權限才可以進行操作
9.新增完成
10.檢查確實加入成功
11.設定完畢提示需要重新啟動 [ 遠端桌面授權服務 ] 才可以正常運作
12.在服務下將 [ Remote Desktop Licensing ] 重新啟動
13.另外還必須重新啟動 [ Remote Desktop Services ] 這個服務,實作中沒有提示必須重新啟動這個服務,導致CAL授權還是無法正常發出,這裡是很重要必須注意的小步驟,我卡在這個環節好幾個小時,所以當授權服務再次異動後,就必須重新啟動 [ Remote Desktop Licensing ] 、 [ Remote Desktop Services ] 這兩個服務
14.設定完成
15.伺服器狀態已經沒有驚嘆號,且啟用狀態是 [ 已啟用 ],以上是CAL授權的安裝步驟
步驟三:遠端桌面主機佈署RDS授權和設定
接下來針對遠端桌面主機(RDS Host)做設定,這裡要注意的是Policy是在本機群組原則下設定,所以必須注意是否有其他網域群組原則設定取代的問題。
1.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 授權 ]
2.將 [ 使用指定的遠端桌面授權伺服器 ] 設定 [ 已啟用 ],[ 要使用的授權伺服器 ] 可以輸入RDS授權伺服器的IP、FQDN、NETBIOS
3.將 [ 設定遠端桌面授權模式 ] 設定 [ 已啟用 ],指定授權模式是 [ 每個裝置 ] 或 [ 每位使用者 ],這裡示範選擇 [ 每個裝置 ],一部RDS授權伺服器同一時間可以提供兩種授權模式,但需要有兩部遠工作階段主機伺服器(RDS Host),分別指向同一部RDS授權伺服器,但授權模式分開設定即可
4.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 連線 ],開啟 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ]
5.將 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ] 設定 [ 已停用 ],這個設定並非一定要停用,如果是 [ 已停用 ] 同一位使用者就可以同時在不同的電腦上,同時連線到同一部RDS Host且不會中斷其他連線,但也會造成同一位使用者建立多個工作階段(Session),消耗伺服器資源
6.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ Windows設定 ] -> [ 安全性設定 ] -> [ 本機原則 ] -> [ 使用者權限指派 ],開啟 [ 允許透過遠端桌面服務登入 ]
7.將 [ 允許透過遠端桌面服務登入 ] 新增群組 [ Remote Desktop Users ],需要遠端桌面的使用者都需要加入 [ Remote Desktop Users ] 這個群組中,才可以有權限進行登入,但在Server 2012預設是沒有將 [ Remote Desktop Users ] 這個群組允許遠端桌面的登入權限
8.如果沒有做以上動作,就會發現雖然將使用者加入 [ Remote Desktop Users ] 群組,但登入時還是會出現沒有權限的錯誤訊息 [ 您必須擁有透過「遠端桌面服務」登人的權限,才能從遠端登人。根據預設值,Administrators群組的成員擁有此權限。若您所屬群組沒有此權限,或該權限已從Administrators群組移除,則必須要求系統管理員手動將此權限授與您。 ]
9.群組原則設定完畢,開啟命令提示字元輸入 [ gpupdate /force ],強制更新原則設定
10.開啟 [ 遠端桌面授權診斷程式 ],檢查是否有其他問題警告,如果沒有會出現 [ 遠端桌面授權診斷程式並未找出任何需要報告的問題 ]
步驟四:實際登入測試
1.將使用者Danny加入 [ Remote Desktop Users ] 群組,確認有遠端桌面登入的權限
2.登入後可以從RD授權管理員看到,多了一個 [ 臨時的RDS每一裝置的CAL ],且授權方案是 [ 暫存 ],當使用「每一裝置」授權模式,且用戶端電腦或裝置首次連線到 RD 工作階段主機伺服器時,預設會發行臨時授權給用戶端電腦或裝置。用戶端電腦或裝置第二次連線到 RD 工作階段主機伺服器時,如果已啟用授權伺服器並且有足夠的 RDS 每一裝置的 CAL 可以使用,授權伺服器將發行永久的 RDS 每一裝置的 CAL 給用戶端電腦或裝置。
3.第二次登入就會發行CAL給該裝置,可用數量會少一,且臨時的CAL會消失
4.點兩下可以看到詳細的授權使用資訊,取得授權的電腦名稱和日期
5.以下畫面是當使用 [ 每位使用者 ] (User CAL)授權時,就沒有臨時CAL,會直接發行User CAL給該使用者
6.點兩下可以看到詳細的授權使用資訊,取得授權的網域使用者
[…] 如何在『網域環境』下使用Server 2012 R2建置遠端桌面服務 […]
回覆刪除