家庭網(wǎng)絡(luò)中部署 Windows 遠(yuǎn)程桌面服務(wù)（RDS）實(shí)現(xiàn)多用戶同時(shí)遠(yuǎn)程桌面指南

當(dāng)前位置：點(diǎn)晴教程→知識(shí)管理交流 →『技術(shù)文檔交流』

admin

2024年12月4日 22:49 本文熱度 1409

在家庭或小型企業(yè)的網(wǎng)絡(luò)中，特別是在帶有域控制器的環(huán)境下，實(shí)現(xiàn)多用戶同時(shí)遠(yuǎn)程桌面訪問同一臺(tái)終端應(yīng)用服務(wù)器（RDS服務(wù)器）可以極大提高資源利用率。例如，多個(gè)工作成員或多個(gè)虛擬用戶可以同時(shí)從外網(wǎng)登錄到一臺(tái)Windows服務(wù)器進(jìn)行獨(dú)立的桌面操作。

為實(shí)現(xiàn)這一功能，需要配置 遠(yuǎn)程桌面會(huì)話主機(jī)（Remote Desktop Session Host，RDSH）和 遠(yuǎn)程桌面許可（Remote Desktop Licensing）角色。本文將詳細(xì)講述如何在家庭網(wǎng)絡(luò)中的域環(huán)境內(nèi)配置遠(yuǎn)程桌面服務(wù)許可，以允許多用戶同時(shí)遠(yuǎn)程訪問同一臺(tái)服務(wù)器。

本文涉及的場景：利用 Windows Server 的遠(yuǎn)程桌面服務(wù)（RDS）實(shí)現(xiàn)多用戶同時(shí)遠(yuǎn)程訪問的終端應(yīng)用服務(wù)器（TS01），可以為多個(gè)用戶提供獨(dú)立的桌面環(huán)境。本文將逐步講解如何配置 RDS 服務(wù)，從域控制器的部署、許可服務(wù)器的設(shè)置到多用戶會(huì)話主機(jī)的配置。該場景非常適合允許朋友或同事遠(yuǎn)程登錄服務(wù)器訪問應(yīng)用，如 ChatGPT 等服務(wù)。

我們都知道，消費(fèi)級(jí)桌面通常遠(yuǎn)程桌面不允許多用戶同時(shí)登錄，多用戶同時(shí)登錄桌面會(huì)話需要在服務(wù)器環(huán)境。微軟在域環(huán)境中的遠(yuǎn)程桌面許可（Remote Desktop Licensing）遵循嚴(yán)格的政策，以確保多用戶或多設(shè)備環(huán)境下的合規(guī)性。下面是微軟RDS許可政策解讀，但我們也是可以跳過它。

微軟遠(yuǎn)程桌面服務(wù)許可政策概述

1. 遠(yuǎn)程桌面客戶端訪問許可（CALs），遠(yuǎn)程桌面服務(wù)（RDS）在域環(huán)境中需要客戶端訪問許可（Client Access Licenses, CALs），有兩種主要類型：

用戶 CAL：與用戶關(guān)聯(lián)，每個(gè)用戶都可以使用任意設(shè)備來訪問 RDS 服務(wù)器。適用于單一用戶需要從多個(gè)設(shè)備訪問服務(wù)器的情況。
設(shè)備 CAL：與設(shè)備關(guān)聯(lián)，每臺(tái)設(shè)備可以由多個(gè)用戶使用來訪問 RDS 服務(wù)器。適用于多用戶通過少數(shù)設(shè)備連接的情況。

2. 許可模式，在域環(huán)境中，微軟允許兩種許可模式來選擇：

按用戶：為每個(gè)用戶分配一個(gè)用戶 CAL，用戶可以從任何設(shè)備進(jìn)行遠(yuǎn)程連接。這種方式適用于每個(gè)用戶需要從多個(gè)設(shè)備遠(yuǎn)程訪問服務(wù)器的場景。
按設(shè)備：為每臺(tái)設(shè)備分配一個(gè)設(shè)備 CAL，不管有多少用戶使用該設(shè)備遠(yuǎn)程連接到服務(wù)器。這種方式適用于共享設(shè)備或有限的訪問場景。

這些許可需要通過 遠(yuǎn)程桌面許可服務(wù)器（Remote Desktop Licensing Server）管理。RDS 會(huì)定期檢查每個(gè)連接用戶或設(shè)備的 CAL 狀態(tài)，并確保許可證的合法分配。

3. 遠(yuǎn)程桌面服務(wù)角色

在域環(huán)境中，遠(yuǎn)程桌面服務(wù)的部署通常涉及以下角色：

遠(yuǎn)程桌面會(huì)話主機(jī)（RDSH）：允許多個(gè)用戶并發(fā)地連接到同一臺(tái)服務(wù)器。
遠(yuǎn)程桌面許可（RD Licensing）：管理并發(fā)布 CAL，確保合規(guī)。
遠(yuǎn)程桌面連接代理（RD Connection Broker）：管理用戶的會(huì)話，并將他們分配到最合適的 RDSH 服務(wù)器上（特別是當(dāng)有多個(gè) RDSH 服務(wù)器時(shí)）。
遠(yuǎn)程桌面網(wǎng)關(guān)（RD Gateway）：通過安全的 HTTPS 連接，允許用戶從外部網(wǎng)絡(luò)訪問內(nèi)部的 RDSH 服務(wù)器。

4. 許可服務(wù)器的部署和激活

激活：遠(yuǎn)程桌面許可服務(wù)器必須通過微軟激活，才能開始頒發(fā) CALs。
管理 CALs：激活后的許可服務(wù)器會(huì)根據(jù)組織的需要來頒發(fā)用戶或設(shè)備 CALs。許可證必須合法購買并正確安裝在許可服務(wù)器上。

5. 許可的管理與監(jiān)控

微軟要求定期監(jiān)控和管理 RDS 許可的使用情況，以確保組織內(nèi)所有遠(yuǎn)程桌面連接都是符合許可的。例如，CAL 是按用戶或按設(shè)備分配的，管理員應(yīng)確保許可證分配與使用保持一致。

管理員可以使用以下工具來監(jiān)控和管理 RDS 許可：

遠(yuǎn)程桌面許可管理器：查看和管理已分配的 CALs。
組策略：通過組策略設(shè)置，管理員可以指定是否按用戶或按設(shè)備許可模式來管理整個(gè)域內(nèi)的 RDS。

6. 許可期限

在某些情況下，如果沒有足夠的 CALs，用戶或設(shè)備仍然可以在有限的時(shí)間內(nèi)（即 寬限期）連接到遠(yuǎn)程桌面服務(wù)主機(jī)。但寬限期結(jié)束后，必須安裝合法的 CALs，否則用戶將無法繼續(xù)連接。

本文落筆前遇到的問題：寬限期政策（Grace Period)，也就是120天寬限期已過，就會(huì)報(bào)錯(cuò)，無法再次連接。

當(dāng)首次設(shè)置 RDS 會(huì)話主機(jī)時(shí)，系統(tǒng)會(huì)有一個(gè)臨時(shí)的寬限期，允許在沒有許可服務(wù)器的情況下進(jìn)行連接（通常為 120 天）。在此寬限期結(jié)束后，必須安裝并激活遠(yuǎn)程桌面許可服務(wù)器，并確保 CALs 正確安裝，才能繼續(xù)為用戶提供遠(yuǎn)程桌面服務(wù)。下面是為了徹底解決許可受限的問題，重新部署許可和遠(yuǎn)程會(huì)話主機(jī)的過程。

環(huán)境準(zhǔn)備

在開始配置之前，確保以下環(huán)境已經(jīng)就緒：

域控制器（DC）：域控已正常運(yùn)行并加入域，域名為 hansonhome.local。
Unifi 網(wǎng)關(guān)：已經(jīng)配置防火墻規(guī)則，允許域控制器跨 VLAN 訪問其他設(shè)備。
終端應(yīng)用服務(wù)器（TS01）：已安裝 Windows Server，激活完畢，且已加入 hansonhome.local 域。DNS解析工作正常，外網(wǎng)端口轉(zhuǎn)發(fā)已經(jīng)設(shè)置好。

配置步驟

1. 在域控制器（DC）上部署遠(yuǎn)程桌面許可服務(wù)

由于家庭網(wǎng)絡(luò)資源有限，將 RDS 許可服務(wù)安裝到域控制器上是節(jié)省資源的合理做法。

打開服務(wù)器管理器：

在域控制器（DC）上，點(diǎn)擊開始，選擇 服務(wù)器管理器。

添加角色和功能：

在服務(wù)器管理器中，點(diǎn)擊左上角的管理菜單，然后選擇 添加角色和功能。
在 添加角色和功能向?qū)?/strong> 中，選擇 基于角色或基于功能的安裝，點(diǎn)擊 下一步。
在服務(wù)器角色列表中，勾選 遠(yuǎn)程桌面服務(wù)。
點(diǎn)擊 下一步，確保勾選 遠(yuǎn)程桌面授權(quán)（Remote Desktop Licensing），這是用于分發(fā)遠(yuǎn)程桌面許可證的必要服務(wù)。

安裝遠(yuǎn)程桌面授權(quán)服務(wù)：

點(diǎn)擊安裝，等待安裝完成。安裝過程結(jié)束后，域控制器將具備遠(yuǎn)程桌面許可服務(wù)的功能。

2. 激活遠(yuǎn)程桌面許可服務(wù)器并分配用戶許可

完成許可服務(wù)的安裝后，需要激活許可服務(wù)器，并通過合法途徑獲取和分配遠(yuǎn)程桌面用戶許可。

打開遠(yuǎn)程桌面許可管理器：

在 DC 上，打開 開始菜單，搜索并運(yùn)行 遠(yuǎn)程桌面授權(quán)管理器。

激活 RDS 許可服務(wù)器：

在遠(yuǎn)程桌面授權(quán)管理器中，右鍵點(diǎn)擊服務(wù)器名稱，選擇 激活服務(wù)器。
選擇 通過互聯(lián)網(wǎng)連接 的方式激活（也可以選擇電話激活，取決于網(wǎng)絡(luò)環(huán)境）。
按照激活向?qū)У闹甘就瓿煞?wù)器激活。

分配用戶許可：

右鍵點(diǎn)擊激活后的服務(wù)器，選擇 安裝許可證。
在彈出的窗口中選擇許可計(jì)劃類型，選擇 服務(wù)提供商許可協(xié)議 (Services Provider License Agreement, SPLA)。
輸入你的協(xié)議號(hào)（例如：1234567），選擇產(chǎn)品版本為 Windows Server 2022，并輸入要分配的用戶許可數(shù)量（如 1000 個(gè)用戶）。
點(diǎn)擊完成安裝并分配許可證，確保服務(wù)器能夠正常分發(fā)許可。

3. 配置組策略指定許可服務(wù)器和模式

接下來，通過組策略為網(wǎng)絡(luò)中的終端服務(wù)器指定許可服務(wù)器，并設(shè)置許可模式為 Per User（按用戶）。

打開組策略管理工具：

在 DC 上，打開 組策略管理工具，可以通過 開始 > 管理工具 > 組策略管理 來訪問。

創(chuàng)建或編輯組策略對象：

在組策略管理工具中，找到 Default Domain Policy 或創(chuàng)建一個(gè)新的策略對象（GPO）。
右鍵點(diǎn)擊 Default Domain Policy，選擇編輯。

設(shè)置遠(yuǎn)程桌面授權(quán)服務(wù)器：

在組策略編輯器中，導(dǎo)航到 計(jì)算機(jī)配置 > 策略 > 管理模板 > Windows 組件 > 遠(yuǎn)程桌面服務(wù) > 遠(yuǎn)程桌面會(huì)話主機(jī) > 授權(quán)。
雙擊 使用指定的遠(yuǎn)程桌面授權(quán)服務(wù)器 策略，選擇啟用，并輸入你域控制器的 FQDN 地址（如：dc.hansonhome.local）。

設(shè)置遠(yuǎn)程桌面授權(quán)模式：

返回上一級(jí)，在 授權(quán) 下找到 設(shè)置遠(yuǎn)程桌面授權(quán)模式 策略，雙擊并啟用它。
在模式下選擇 按用戶，點(diǎn)擊確定保存更改。

刷新組策略：

完成設(shè)置后，在終端服務(wù)器和域控制器上運(yùn)行命令 gpupdate /force 刷新組策略。

4. 在終端應(yīng)用服務(wù)器 TS01 上配置遠(yuǎn)程桌面會(huì)話主機(jī)

接下來在終端應(yīng)用服務(wù)器 TS01 上安裝遠(yuǎn)程桌面會(huì)話主機(jī)角色，允許多用戶登錄到該服務(wù)器。

打開服務(wù)器管理器：

在 TS01 上，點(diǎn)擊開始，打開 服務(wù)器管理器。

添加遠(yuǎn)程桌面會(huì)話主機(jī)角色：

點(diǎn)擊 管理 > 添加角色和功能，在 基于角色的安裝 中繼續(xù)操作。
在角色選項(xiàng)中勾選 遠(yuǎn)程桌面會(huì)話主機(jī)（Remote Desktop Session Host, RDSH）。
點(diǎn)擊 下一步，然后安裝完成角色安裝。

啟用遠(yuǎn)程桌面功能：

在 TS01 上，右鍵點(diǎn)擊 此電腦，選擇屬性。
點(diǎn)擊 遠(yuǎn)程設(shè)置，在 遠(yuǎn)程桌面 選項(xiàng)卡中啟用遠(yuǎn)程桌面，允許用戶遠(yuǎn)程訪問此服務(wù)器。

配置外網(wǎng)訪問：

在路由器或防火墻中，將遠(yuǎn)程桌面默認(rèn)端口 3389 轉(zhuǎn)發(fā)到 TS01 的內(nèi)部 IP 地址，確保外網(wǎng)用戶能夠通過遠(yuǎn)程桌面客戶端訪問該服務(wù)器。

5. 在 DC 上完成遠(yuǎn)程桌面服務(wù)的部署

在終端服務(wù)器 TS01 上配置完會(huì)話主機(jī)后，回到 DC 上完成遠(yuǎn)程桌面服務(wù)的整體部署，確保所有組件正常工作。

打開遠(yuǎn)程桌面服務(wù)部署界面：

在 DC 的 服務(wù)器管理器 中，選擇 遠(yuǎn)程桌面服務(wù)。

配置遠(yuǎn)程桌面服務(wù)角色：

在部署界面中，選擇 部署基于角色的遠(yuǎn)程桌面服務(wù)，并配置 RD Licensing 和 RD Gateway 等服務(wù)。

驗(yàn)證終端服務(wù)器設(shè)置：

確認(rèn) TS01 被正確識(shí)別為 遠(yuǎn)程桌面會(huì)話主機(jī)，并且已配置好遠(yuǎn)程桌面服務(wù)許可模式。

6. 測試遠(yuǎn)程桌面多用戶登錄

完成所有設(shè)置后，測試多個(gè)用戶是否能夠同時(shí)通過遠(yuǎn)程桌面登錄 TS01 服務(wù)器，并且每個(gè)用戶都能獲得獨(dú)立的桌面會(huì)話。

創(chuàng)建域用戶：

在 DC 上創(chuàng)建多個(gè)域用戶賬戶，分配合適的權(quán)限。

通過外網(wǎng)訪問 TS01：

使用外網(wǎng) IP 地址和配置好的端口，使用遠(yuǎn)程桌面客戶端進(jìn)行連接。

測試并驗(yàn)證：

測試多個(gè)用戶能否同時(shí)登錄，并檢查會(huì)話是否獨(dú)立。

這樣，如果后續(xù)我們又新增了一臺(tái)終端應(yīng)用服務(wù)器（如 TS02），在我們前面已經(jīng)設(shè)置好的 RDS 許可服務(wù)器和組策略配置下，它將會(huì)自動(dòng)接收和分發(fā)許可，而無需干預(yù)（組策略會(huì)完成這一切）。下面我們來理解一下它是怎么工作的。
后續(xù)：新增終端應(yīng)用服務(wù)器的流程和自動(dòng)分發(fā)許可的機(jī)制
自動(dòng)分發(fā)許可的前提：
域環(huán)境已經(jīng)有一臺(tái)配置了遠(yuǎn)程桌面授權(quán)服務(wù)的域控制器，并且這個(gè)域控制器已經(jīng)激活了 RDS 許可服務(wù)。
在組策略中，已經(jīng)指定了許可服務(wù)器和許可模式（如 "Per User" 模式），并且該策略作用于整個(gè)域。
新增終端應(yīng)用服務(wù)器 TS02 的步驟：
將 TS02 加入域：新的終端應(yīng)用服務(wù)器需要加入 hansonhome.local 域，以確保它能夠從域控制器獲取相關(guān)的 RDS 許可。
安裝遠(yuǎn)程桌面會(huì)話主機(jī)角色：在 TS02 上，按照之前 TS01 的方式，安裝 遠(yuǎn)程桌面會(huì)話主機(jī)（Remote Desktop Session Host, RDSH） 角色。
啟用遠(yuǎn)程桌面：同樣地，確保在 TS02 上啟用了遠(yuǎn)程桌面功能，并且配置好端口轉(zhuǎn)發(fā)等網(wǎng)絡(luò)設(shè)置。
自動(dòng)分發(fā)許可的原理：
組策略的作用：由于已經(jīng)在組策略中指定了遠(yuǎn)程桌面許可服務(wù)器（DC）以及許可模式（Per User），任何加入域的新終端應(yīng)用服務(wù)器都會(huì)自動(dòng)從這個(gè)許可服務(wù)器獲取許可證分發(fā)配置。
自動(dòng)分發(fā)許可證：當(dāng)用戶通過遠(yuǎn)程桌面登錄到 TS02 時(shí)，TS02 會(huì)自動(dòng)向指定的 RDS 許可服務(wù)器（DC）請求用戶許可。如果服務(wù)器上有可用的 "Per User" 許可證，它將自動(dòng)分發(fā)給當(dāng)前登錄的用戶。
確保許可證正常分發(fā)：
驗(yàn)證組策略生效：在 TS02 上運(yùn)行 gpupdate /force 命令，確保組策略設(shè)置（特別是關(guān)于 RDS 許可的策略）已成功應(yīng)用。
檢查 RDS 許可管理器：在 DC 上的 遠(yuǎn)程桌面授權(quán)管理器 中，可以查看許可證的使用情況，確認(rèn) TS02 是否能夠正確分發(fā)許可。

總結(jié)
在域環(huán)境中，配置好遠(yuǎn)程桌面授權(quán)服務(wù)后，新增的終端應(yīng)用服務(wù)器（如 TS02）會(huì)自動(dòng)繼承組策略的設(shè)置，向 RDS 許可服務(wù)器請求并分發(fā)用戶許可證。這使得整個(gè)網(wǎng)絡(luò)環(huán)境中的 RDS 許可證管理變得自動(dòng)化、統(tǒng)一化。當(dāng)有新用戶或新終端應(yīng)用服務(wù)器加入時(shí)，無需額外的手動(dòng)配置。

該文章在 2024/12/5 15:54:02 編輯過