Windows Server 2016快速入门部署远程桌面服务

打开服务器管理器，然后单击管理 -> 添加角色和功能

在“ 开始之前”页面上的向导中，单击“下一步”。

在“ 选择安装类型”页面上，选择“ 远程桌面服务安装”，再 单击“下一步”。

在“ 选择 部署类型”页面上，选择“ 快速入门”  ，然后单击“下一步”。

在“  选择部署方案”页面上，选择“基于会话的桌面部署”，然后单击“下一步”。

由于我们选择了快速入门，因此将在单个服务器上安装Connection Broker，Web Access和Session Host角色。点击下一步

在“ 确认”页面上，选中需要时自动重新启动目标服务器的框 ，然后单击“ 部署”。

当您单击“部署进度”时，将显示一个窗口。系统重启后，检查所有服务配置是否成功，然后单击“关闭”。

 

而已。如果单击左窗格中的“远程桌面服务”链接，则可以通过服务器管理器访问远程桌面服务。

当您单击它时，您会在“ RDS管理器”前面找到自己。

选择快速部署类型时，已经配置了集合（QuickSessionCollection）和远程应用程序。

集合将RD会话主机分离为单独的服务器场，并允许管理员组织资源。（我将在RD收集的目的一文中进一步讨论收集和收集属性）。

如您所见，该部署缺少RD网关服务器和RD授权服务器。

单击添加RD授权服务器  绿色按钮。

选择一个服务器，下一步

确认选择，然后单击添加。等待角色服务部署完毕，然后单击“关闭”。

接下来，我们需要添加RD网关。单击添加RD网关服务器绿色按钮。

选择一个服务器，下一步

 

当我们通过向导时，它将创建一个自签名的SSL证书。稍后我将用Trusted替换该证书。在“ SSL证书名称”页面上，我将输入我的RDS服务器rds01.mehic.se的完全合格域名。

点击下一步并添加。等待角色服务部署完毕，然后单击“ 配置证书”以查看“证书选项”

 

（OBS !!!我将在“探索部署属性”系列中讨论更多有关部署属性的信息）

请注意，证书级别当前的状态为未配置。RD网关证书用于客户端到网关的通信，并且需要客户端信任。在所有客户端上安装自签名证书，或者使用所有客户端已经信任完整证书链的证书。如向导中所述，外部FQDN应该在证书上。

在创建新证书之前，我们需要配置DNS，以便外部用户可以将RD网关的名称解析为正确的IP地址。您将在外部DNS（托管dns或ISP上的DNS）上配置它，而我们对此没有控制权，但可以从Internet进行访问。

在这种情况下，我的“外部DNS”（我的外部网络上的ROUTER-机器）将处理外部网络的DNS。

如果我尝试从外部Windows 10计算机ping网关，则ping将会失败。

一切都在内部运作

打开DNS管理器，然后浏览到“正向查找区域”。右键单击正向查找区域，然后选择新区域

 

在“ 欢迎使用新区域向导”页上，单击“下一步”。在“ 区域类型”页面上，接受默认设置，然后单击“下一步”。

在“ 区域名称”  页面上，输入您的区域名称，在我的情况下为mehic.se，然后单击下一步。

在“区域文件”的“动态更新”页面上，接受默认设置，然后单击“完成”。

完成后，右键单击新区域，然后选择“新主机”（A或AAAA）

在现实生活中，您将键入NAT路由器或防火墙的外部IP地址，即距离网关最近的公用IP。就我而言，我没有运行NAT，也没有运行防火墙，所以我将其内部IP放入

我还将添加我的CA IP地址。

现在，如果我尝试从“外部计算机”执行ping操作，则ping将起作用。

让我们尝试使用RDP连接到RDCB。只需打开运行（Windows Button + R）并输入mstsc。输入RDCB名称，然后单击“高级”选项卡

高级–>设置并指定RD网关，然后单击确定并连接。

Windows安全性将弹出。输入凭据，然后单击“确定”，您将遇到此错误。

我们收到此错误消息是因为我们没有配置证书，这是我们的第二个先决条件。

在现实生活中，您可以从公共CA（GoDaddy，VeriSign等）购买此证书。该证书需要包含您将用作RD Web访问URL的FQDN（我的是rds01.mehic.se）。它必须为.pfx格式，并且您需要包含私钥。就我而言，我将使用我的专用CA。（如果您不熟悉或没有私有CA，请查看我的Mastering Windows Server 2016系列，以了解如何安装证书颁发机构）

打开服务器管理器–>工具–>证书颁发机构

在CA管理单元中，右键单击“证书模板”，然后选择“管理”

这将打开证书模板管理单元。我们需要做的是从这些模板中选择一个并复制它，以便我们可以根据需要自定义它。对于远程桌面，我们需要的大多数证书都是SSL。右键单击Web服务器模板，然后选择“重复模板”

将会弹出新模板窗口。我要做的第一件事是在“常规”选项卡上将证书名称更改为MEHIC SSL。

接下来，单击“请求处理”选项卡，然后选中“ 允许导出私钥”。

我们可以做很多事情，但最重要的是允许。因此，请单击“安全性”选项卡，并授予“身份验证的用户”注册和自动注册的权限。（OBS！在现实生活中，您可能希望将该证书锁定给特定的人，但在这种情况下，这并不重要。）我还将添加域计算机，并授予他们读取，注册和自动注册的权限。完成后，单击“确定”。

现在，我们需要获取该模板并将其发布到CA。为此，请右键单击证书模板–>新建–>要颁发的证书模板。

选择我们新创建的证书，然后单击“确定”。单击“确定”后，您将可以在已发布到CA的证书列表中看到它。

最后一步是注册证书。切换到RDS01并打开MMC（Windows按钮+ R并输入mmc），右键单击Personal-> All Tasks-> Request New Certificate

在“ 开始之前  和选择证书注册策略”页上，单击“下一步”。在“  请求证书”页面上，选择MEHIC SSL，然后单击链接。需要更多信息。（使用SSL，我们必须提供其他信息）

将主题名称类型更改为通用名称，然后添加您正在使用的服务器或网站的确切名称。首先，我将添加单个标签名称rds01，然后添加FQDN rds01.mehic.se，单击“确定”。

它允许我注册，然后您可以看到我已经成功。点击完成

现在，在“个人”下方，我可以向上并单击“证书”，然后是我要求的证书。接下来，我们需要使用私钥导出证书，并配置网关rdwa，rdcb来使用它。

右键单击它–>所有任务–>导出

欢迎导出向导将弹出。点击下一步。选择是，导出私钥，然后单击下一步

在“导出文件格式”上，单击“下一步”。

选中密码框，然后输入密码。点击下一步

输入名称以及您想要保存的位置，然后单击下一步并完成

 

现在，让我们回到“部署属性”并选择RD网关–>选择“现有证书”

添加证书，然后单击确定。

单击“应用”，您将注意到证书级别现在的状态为“受信任”。

对RDWA和RDCB进行相同的操作。

是时候测试设置了！

内部

浏览到https：//“您的 RDWA服务器名称” / rdweb。如果一切正常，我们将不会收到证书错误消息。RD网关也将起作用。

外部