Bài viết này là một phần của loạt bài 3 phần về Dịch vụ máy tính từ xa.
Cấu hình RDP
Để bắt đầu định cấu hình RDP (và cụ thể hơn là máy chủ lưu trữ phiên của chúng tôi), hãy mở Trình quản lý máy chủ và chọn "Dịch vụ máy tính từ xa" trong thanh bên. Màn hình này thoạt nhìn có vẻ hơi phức tạp, nhưng thực sự khá dễ hiểu sau khi biết mọi tính năng làm gì. Xác nhận RDS đã được triển khai chính xác bằng cách xác nhận màn hình trông như thế này:
Trước hết, chúng ta cần xem qua các máy chủ RD session Host.
Máy chủ phiên RD là gì?
Trích dẫn TechNet:
Máy chủ lưu trữ phiên máy tính từ xa (Máy chủ phiên RD) là máy chủ lưu trữ các chương trình dựa trên Windows hoặc máy tính để bàn Windows đầy đủ cho các máy khách Dịch vụ máy tính từ xa. Người dùng có thể kết nối với máy chủ lưu trữ phiên RD để chạy chương trình, lưu tệp và sử dụng tài nguyên mạng trên máy chủ đó. Người dùng có thể truy cập máy chủ RD session Host bằng cách sử d���ng Remote Desktop Connection hoặc bằng RemoteApp.
Nói cách khác: khi bạn kết nối với máy chủ RDS bằng RDP, Máy chủ phiên là máy chủ mà bạn kết nối. Đó là máy chủ đầu cuối lưu trữ phiên của bạn.
Bạn có thể thêm nhiều máy chủ lưu trữ phiên RD. Hãy nhớ rằng, bạn sẽ cần ngân sách cho việc này mặc dù và xem xét liệu nó sẽ là một khoản đầu tư tốt. Nếu bạn không nhất thiết cần cân bằng chuyển đổi dự phòng / tải, không có lý do rõ ràng để thêm nhiều máy chủ lưu trữ phiên RD. Nếu bạn nghĩ rằng đây sẽ là một lựa chọn tốt, bạn chỉ cần thêm máy chủ bằng cách thêm nó vào nhóm máy chủ của mình , nhấp vào "Thêm máy chủ lưu trữ phiên RD" và Windows Server sẽ thực hiện cài đặt.
Nhà môi giới kết nối RD là gì?
Nhà môi giới kết nối RD là một máy chủ sẽ cho phép cân bằng tải, chuyển đổi dự phòng và kết nối lại trong trường hợp máy chủ phiên RD bị lỗi. Tuy nhiên, điều này là quá mức cần thiết cho các tập đoàn nhỏ hơn, do đó, rất có thể bạn không cần phải tập trung vào việc thiết lập Nhà môi giới kết nối RD. Không có điểm nào trong việc sử dụng Nhà môi giới kết nối RD nếu bạn không có nhiều máy chủ lưu trữ phiên RD, vì đây tự nhiên là điều kiện tiên quyết.
Tôi có thể thêm bất kỳ loại máy chủ?
Bạn có thể thêm bất kỳ loại máy chủ nào liên quan đến RDS (Máy chủ phiên, Truy cập web, Cấp phép, Cổng) bằng cách mở rộng menu "Nhiệm vụ" trong phần "DỊCH VỤ PHỤC HỒI". Điều này cho phép rất nhiều độ tin cậy.
Dịch vụ máy tính từ xa (RDS): Truy cập web và RemoteApp
RDS cài đặt IIS trên máy chủ vì nó chứa giao diện web cho phép người dùng đăng nhập từ trình duyệt của họ, sử dụng RemoteApp và khởi tạo các kết nối RDP từ trình duyệt của họ. Giao diện, sau khi đăng nhập, trông như thế này:
Giao diện này cho phép bạn tải xuống các ứng dụng RemoteApp và kết nối với máy chủ RDP.
RemoteApp là gì?
RemoteApp có thể được coi là một thay thế cho một máy chủ đầu cuối. RemoteApp cho phép nhân viên tải xuống các ứng dụng và chạy chúng như trên máy tính của họ. Ví dụ: tải xuống ứng dụng Máy tính từ RemoteApp, trông như thế này:
Không thể nói (ngoại trừ biểu tượng nhỏ trên thanh tác vụ) rằng ứng dụng này không thực sự chạy trên máy tính này, mà trên máy chủ! Ví dụ, bạn có thể thêm explorer.exe
ứng dụng, nhân viên có thể tải xuống ứng dụng và sau đó họ sẽ có thể chạy cửa sổ Windows Explorer thông thường từ máy chủ, giống như nó chạy trên máy tính của chính họ để truy cập tài nguyên mạng.
Có thể thêm các ứng dụng RemoteApp để chúng có sẵn để tải xuống từ Trình quản lý máy chủ. Chuyển đến phần "Dịch vụ máy tính từ xa" một lần nữa và nhấp vào "Bộ sưu tập" trong thanh bên đã xuất hiện. RemoteApp hoạt động với "bộ sưu tập", có thể được coi là thư mục để tổ chức các ứng dụng một cách hiệu quả. Theo mặc định, chỉ có một bộ sưu tập gọi là "QuickSessionCollection". Trong ví dụ này, chúng tôi sẽ thêm một ứng dụng mới vào bộ sưu tập hiện có. Bạn có thể thực hiện việc này bằng cách nhấp vào nó, trong "CHƯƠNG TRÌNH REMOTEAPP", mở rộng "Nhiệm vụ" và nhấp vào "Xuất bản chương trình RemoteApp". Bạn sẽ thấy một danh sách các chương trình RemoteApp bạn có thể xuất bản. Trong ví dụ này, chúng tôi sẽ thêm một chương trình không có trong danh sách:cmd.exe
. Bạn có thể thêm chương trình bằng cách nhấp vào nút "Thêm ..." và tìm chương trình. Lưu ý rằng bạn được yêu cầu sử dụng đường dẫn UNC để bạn không thể sử dụng đường dẫn như C:\Program Files\program.exe
. Sau khi tìm thấy đường dẫn (trong trường hợp cmd.exe
đó là C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools
), hãy thêm chương trình và xuất bản nó!
Tải lại trang Web Access và bạn có thể thấy rằng chương trình của bạn đã được xuất bản! Người dùng giờ đây có thể tải xuống và chạy nó giống như nó chạy trên máy tính của chính họ, trong khi nó thực sự trên máy chủ.
Dịch vụ máy tính từ xa (RDS): Thêm người dùng RDP đầu tiên của bạn
Sau khi thiết lập và định cấu hình môi trường, đã đến lúc thêm người dùng RDP đầu tiên của chúng tôi. Người dùng này sẽ có thể kết nối với máy chủ qua RDP và sử dụng nó làm máy chủ đầu cuối. Thêm người dùng RDP sau khi triển khai RDS cũng đơn giản như thêm người dùng vào Active Directory. Nhấp chuột phải vào Đơn vị tổ chức của bạn ("Các phòng ban") và đi đến New -> User
. Bạn sẽ được yêu cầu một số lĩnh vực khác nhau. Các trường người dùng (tên, họ, v.v.) rất đơn giản. Tên đăng nhập người dùng là tên người dùng. Nếu bạn có nhiều tên miền, hãy nhớ chọn đúng tên miền. Nhấp vào "OK" và người dùng được tạo.
Làm cách nào để từ chối người dùng truy cập vào RDP?
Bạn có thể từ chối các nhóm và / hoặc người dùng truy cập vào RDP trên mỗi máy chủ đầu cuối bằng cách chỉnh sửa Chính sách bảo mật cục bộ. Để truy cập ứng dụng Chính sách bảo mật cục bộ, chỉ cần tìm kiếm bí danh của nó secpol.msc
.
Để từ chối quyền truy cập vào người dùng và / hoặc nhóm cụ thể, hãy truy cập Local Policies -> User Rights Assignment
. Định cấu hình cài đặt chính sách "Từ chối đăng nhập thông qua Dịch vụ máy tính từ xa". Bằng cách nhấp vào "Thêm người dùng hoặc nhóm ..." và chọn người dùng hoặc nhóm, quyền truy cập cá nhân vào RDP có thể bị từ chối. Người dùng bị từ chối truy cập vào RDP sẽ nhận được lỗi sau khi cố gắng đăng nhập vào RDP:
Lưu ý rằng bằng cách này, quyền truy cập vào giao diện web và RemoteApp sẽ không bị từ chối và người dùng vẫn có thể đăng nhập vào đó.
Dịch vụ máy tính từ xa (RDS): Cấp phép
Dịch vụ máy tính từ xa không được Microsoft cung cấp miễn phí. Vì thông tin này có thể thay đổi bất cứ lúc nào, tôi khuyên bạn nên tham khảo trang web của Microsoft để biết thêm thông tin về cấp phép, giá cả và cách thiết lập:
Khi sử dụng RDS mà không cấp phép cho nó và không chỉ sử dụng nó cho mục đích quản trị, bạn đã vi phạm các điều khoản của Microsoft. Bạn có thể thông báo về họ trên Diễn đàn TechNet .