如何使用Server 2012 R2建置遠端桌面服務

如何使用Server 2012 R2建置遠端桌面服務


非網域環境請點以下連結:

如何在『非網域環境』下使用Server 2012 R2建置遠端桌面服務



從Server 2008 R2開始,原本的終端機服務Terminal Services (TS),重新命名為遠端桌面服務Remote Desktop Services (RDS),目前從微軟公開的文件上,大都是說明2008 R2的佈署建置操作,且2012的操作介面和2008 R2有很大的不同,造成參考官方文件會有找不到功能做不下去的情況。



目前這篇教學是針對在網域環境下做操作,其實RDS也是可以在非網域的環境下做建置,使用工作群組(Workgroup)的架構做使用,其建置操作上是很相近的,針對不同架構的注意事項可以參考 Best practices for setting up Remote Desktop Licensing (Terminal Server Licensing) across Active Directory Domains/Forests or Workgroup



Workgroup:

  • 因為沒有網域環境,所以無法做使用者的驗證,在Workgroup環境下只能使用Device CAL,沒有辦法使用User CAL,但在RDS授權伺服器還是可以新增User CAL進去,但只是浪費授權。

  • User CAL的授權使用和報告也沒有辦法在Workgroup環境下使用。

  • Workgroup環境下可以將RDS Host和RDS licensing server安裝在同一部Server上,也可以分開存放,但要注意的是兩部主機要有網路相同,才可以正常運作。



Domain:

  • 可以同時安裝Device CAL和User CAL在RDS授權伺服器上。


  • 在網域的環境下必須將RDS授權伺服器和Network Service這個帳號都設定是Terminal Server License Servers群組下的成員,

     

另外要注意的就是Client Access License (CAL)的購買數量和類型,關於Device CAL或是User CAL的差異,可以自行衡量目前環境的需求做購買,授權的差異可以從以下影片

[embed]https://www.youtube.com/embed/UyfHOrhM_7U[/embed]

了解使用上的差異,但詳細授權還是需要詢問微軟客服才能得到最正確的消息。如果需要將已經建置好的RDS授權做轉移請參考Server-如何轉移RDS授權伺服器



以下操作教學是將RDS建置在網域環境下,並將RDS授權伺服器(RDS licensing server)和RDS主機(RDS Host)放在同台Server下,並使用Device CAL做啟動。


步驟一:啟用RDS授權伺服器


1.首先新增伺服器角色,勾選 [ 遠端桌面服務 ]

遠端桌面服務

2.在角色服務上勾選 [ 遠端桌面工作階段主機 ] 和 [ 遠端桌面授權 ]

遠端桌面工作階段主機 遠端桌面授權

3.安裝完成中間需要重新啟動一次

重新啟動

4.在伺服器管理員開啟 [ 遠端桌面授權管理員 ]

遠端桌面授權管理員

5.可以看到目前S2012R2-01這個伺服器授權是尚未啟用的狀態,必須將這部伺服器和微軟註冊成RDS授權伺服器,才可以再新增CAL並管理後續CAL授權

註冊成RDS授權伺服器

6.點選 [ 啟用伺服器 ]

啟用伺服器

7.開啟啟用伺服器精靈

啟用伺服器精靈<br/>

8.如果這部伺服器有對外網路且可以使用SSL連線可以選擇透過 [ 自動連線 ] 的方式做啟動,如果沒有可以選擇透過電話啟動

自動連線 電話啟動

9.輸入公司相關資訊

公司相關資訊

10.這畫面可以選擇填寫全部空白也可以

填寫資訊

11.完成啟用RDS授權伺服器,接下來是安裝CAL授權

安裝CAL授權

步驟二:安裝CAL授權


1.開啟授權精靈

開啟授權精靈

2.選擇購買的授權方案,目前示範新增 [ 授權套件(零售購買) ]

授權套件(零售購買)

3.授權套件的輸入類似作業系統的授權一共25碼,這邊示範輸入Device CAL和User CAL,可以同時新增到RDS授權伺服器

Device CAL User CAL

4.新增完畢,提示安裝成功

CAL安裝成功

5.如果是看到以下錯誤畫面,提示 [ 該授權碼已啟用 ],表示輸入的CAL授權,已經在其他RDS授權伺服器上啟用過,無法重複啟用,正確的授權移轉必須使用移轉工具來達成

該授權碼已啟用

6.授權安裝完成,可以看到目前已經安裝的授權總數和可用數量,但授權伺服器上有驚嘆號,表示還有其他設定未完成,點選 [ 檢閱設定 ]

檢閱設定

7.提示RDS授權伺服器和Network Service還沒有加入Terminal Server License Servers群組中,所以無法發出User CAL且無法追蹤或報告User CAL的使用量,點選 [ 加入群組 ]

Terminal Server License Servers

8.需要有Domain Admins權限才可以進行操作

Domain Admins

9.新增完成

新增完成

10.檢查確實加入成功

檢查確實加入成功

11.設定完畢提示需要重新啟動 [ 遠端桌面授權服務 ] 才可以正常運作

重新啟動 [ 遠端桌面授權服務 ]

12.在服務下將 [ Remote Desktop Licensing ] 重新啟動

 [ Remote Desktop Licensing ] 重新啟動

13.另外還必須重新啟動 [ Remote Desktop Services ] 這個服務,實作中沒有提示必須重新啟動這個服務,導致CAL授權還是無法正常發出,這裡是很重要必須注意的小步驟,我卡在這個環節好幾個小時,所以當授權服務再次異動後,就必須重新啟動 [ Remote Desktop Licensing ] 、 [ Remote Desktop Services ] 這兩個服務

重新啟動 [ Remote Desktop Services ] 這個服務

14.設定完成

設定完成

15.伺服器狀態已經沒有驚嘆號,且啟用狀態是 [ 已啟用 ],以上是CAL授權的安裝步驟

CAL授權的安裝步驟

步驟三:遠端桌面主機佈署RDS授權和設定


接下來針對遠端桌面主機(RDS Host)做設定,這裡要注意的是Policy是在本機群組原則下設定,所以必須注意是否有其他網域群組原則設定取代的問題。

1.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 授權 ]

遠端桌面工作階段主機 授權

2.將 [ 使用指定的遠端桌面授權伺服器 ] 設定 [ 已啟用 ],[ 要使用的授權伺服器 ] 可以輸入RDS授權伺服器的IP、FQDN、NETBIOS

使用指定的遠端桌面授權伺服器

3.將 [ 設定遠端桌面授權模式 ] 設定 [ 已啟用 ],指定授權模式是 [ 每個裝置 ] 或 [ 每位使用者 ],這裡示範選擇 [ 每個裝置 ],一部RDS授權伺服器同一時間可以提供兩種授權模式,但需要有兩部遠工作階段主機伺服器(RDS Host),分別指向同一部RDS授權伺服器,但授權模式分開設定即可

每個裝置 每位使用者

4.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ 系統管理範本 ] -> [ Windows元件 ] -> [ 遠端桌面服務 ] -> [ 遠端桌面工作階段主機 ] -> [ 連線 ],開啟 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ]

限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段

5.將 [ 限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段 ] 設定 [ 已停用 ],這個設定並非一定要停用,如果是 [ 已停用 ] 同一位使用者就可以同時在不同的電腦上,同時連線到同一部RDS Host且不會中斷其他連線,但也會造成同一位使用者建立多個工作階段(Session),消耗伺服器資源

限制遠端桌面服務的使用者只能使用一個遠端桌面服務工作階段

6.使用gpedit.msc開啟 [ 本機群組原則編輯器 ],找到位置 [ 電腦設定 ] -> [ Windows設定 ] -> [ 安全性設定 ] -> [ 本機原則 ] -> [ 使用者權限指派 ],開啟 [ 允許透過遠端桌面服務登入 ]

允許透過遠端桌面服務登入

7.將 [ 允許透過遠端桌面服務登入 ] 新增群組 [ Remote Desktop Users ],需要遠端桌面的使用者都需要加入 [ Remote Desktop Users ] 這個群組中,才可以有權限進行登入,但在Server 2012預設是沒有將 [ Remote Desktop Users ] 這個群組允許遠端桌面的登入權限

Remote Desktop Users

8.如果沒有做以上動作,就會發現雖然將使用者加入 [ Remote Desktop Users ] 群組,但登入時還是會出現沒有權限的錯誤訊息 [ 您必須擁有透過「遠端桌面服務」登人的權限,才能從遠端登人。根據預設值,Administrators群組的成員擁有此權限。若您所屬群組沒有此權限,或該權限已從Administrators群組移除,則必須要求系統管理員手動將此權限授與您。 ]

Remote Desktop Users

9.群組原則設定完畢,開啟命令提示字元輸入 [ gpupdate /force ],強制更新原則設定

gpupdate /force

10.開啟 [ 遠端桌面授權診斷程式 ],檢查是否有其他問題警告,如果沒有會出現 [ 遠端桌面授權診斷程式並未找出任何需要報告的問題 ]

遠端桌面授權診斷程式

步驟四:實際登入測試


1.將使用者Danny加入 [ Remote Desktop Users ] 群組,確認有遠端桌面登入的權限

Remote Desktop Users

2.登入後可以從RD授權管理員看到,多了一個 [ 臨時的RDS每一裝置的CAL ],且授權方案是 [ 暫存 ],當使用「每一裝置」授權模式,且用戶端電腦或裝置首次連線到 RD 工作階段主機伺服器時,預設會發行臨時授權給用戶端電腦或裝置。用戶端電腦或裝置第二次連線到 RD 工作階段主機伺服器時,如果已啟用授權伺服器並且有足夠的 RDS 每一裝置的 CAL 可以使用,授權伺服器將發行永久的 RDS 每一裝置的 CAL 給用戶端電腦或裝置。

臨時的RDS每一裝置的CAL

3.第二次登入就會發行CAL給該裝置,可用數量會少一,且臨時的CAL會消失

發行CAL給該裝置

4.點兩下可以看到詳細的授權使用資訊,取得授權的電腦名稱和日期

詳細的授權使用資訊

5.以下畫面是當使用 [ 每位使用者 ] (User CAL)授權時,就沒有臨時CAL,會直接發行User CAL給該使用者

每位使用者(User CAL)授權

6.點兩下可以看到詳細的授權使用資訊,取得授權的網域使用者

詳細的授權使用資訊
詳細的授權使用資訊

留言

張貼留言

這個網誌中的熱門文章

Create WIMBoot Images

Android 5.1 無痛升級和Root教學