TS RemoteApp 循序渐进指南

 

使用终端服务，组织可以从几乎任何位置和计算设备提供对基于 Windows(R) 程序的访问。WindowsServer®2008 中的终端服务包括 Terminal Services RemoteApp (TSRemoteApp)。可以使用多个不同的方法部署 RemoteApp 程序，如 Terminal Services Web Access (TSWeb Access)。使用 TSWeb Access，可以通过 Internet 上的网页或 Intranet 提供对 RemoteApp 程序的访问。Windows Server2008 中也包含 TSWeb Access。

什么是 RemoteApp 程序？

 

RemoteApp 程序是通过终端服务远程访问的程序，它们看来就像运行在最终用户的本地计算机上一样。RemoteApp 程序与客户端的桌面集成在一起，借助任务栏中它自己的条目，运行在它自己的可调整大小的窗口中，而不是在远程终端服务器的桌面中呈现给用户。用户可以将 RemoteApp 程序与本地程序并排运行。如果用户在同一台终端服务器上运行多个 RemoteApp 程序，RemoteApp 程序将共享同一个终端服务会话。

在 Windows Server2008 中，用户可以使用多种方式访问 RemoteApp 程序，具体取决于所选的部署方法。用户可以：

• 使用 TSWeb Access 在网站上访问该程序的链接。
• 双击已由管理员创建并分发的远程桌面协议 (.rdp) 文件。
• 在桌面或「开始」菜单上，双击由管理员使用 Windows Installer (.msi) 程序包创建并分发的程序图标。
• 双击文件扩展名与 RemoteApp 程序关联的文件。这可以由管理员使用 Windows Installer 程序包进行配置。

.rdp 文件和 Windows Installer 程序包包含运行 RemoteApp 程序所需的设置。在本地计算机上打开 RemoteApp 程序之后，用户可以与正在终端服务器上运行的该程序进行交互，就好像它们在本地运行一样。

客户端的要求

 

若要访问部署为 .rdp 文件或 Windows Installer 程序包的 RemoteApp 程序，客户端计算机必须运行 Remote Desktop Connection (RDC) 6.0 或 RDC 6.1。RDC 客户端的支持版本随 Windows Server2008 和 WindowsVista® 一起提供。若要为带 Service Pack1 (SP1) 的 Windows Server2003、带 Service Pack2 (SP2) 的 Windows Server2003 或带 SP2 的 WindowsXP 下载 RDC6.0，请参阅 Microsoft(R) 知识库中的文章 925876 (http://go.microsoft.com/fwlink/?LinkId=79373)（可能为英文网页）。

备注
RDC6.1 (6.0.6001) 支持 Remote Desktop Protocol6.1。

 

若要通过 TSWeb Access 访问 RemoteApp 程序，客户端计算机必须运行 RDC 6.1。RDC6.1 包括在以下操作系统中：

• Windows Server2008
• WindowsVista Service Pack1 (SP1)
• WindowsXP Service Pack3 (SP3)

 

 

为什么应使用 TSRemoteApp？

 

本指南主要供以下用户参考：

• 评估产品的 IT 计划者和分析者
• 企业架构师
• 部署或管理终端服务器、行业 (LOB) 应用程序或可以使用 TSRemoteApp 更高效地部署的应用程序的 IT 专业人员

TSRemoteApp 的关键方案

 

TSRemoteApp 在诸如以下方案中特别有用：

• 远程用户。用户通常需要从远程位置访问程序，如在家中工作或旅行途中时。如果希望用户通过 Internet 连接访问 RemoteApp 程序，则可以允许用户通过虚拟专用网络 (VPN) 进行访问，或者将 TSRemoteApp 与终端服务网关（TS网关）一起部署来帮助保护对程序的远程访问。
• 分支办公室。在分支办公室环境中，本地 IT 支持和网络带宽可能有限。通过使用 TSRemoteApp，可以在带宽有限的情况下集中管理应用程序和改进远程程序的性能。
• 行业 (LOB) 应用程序部署。公司通常需要在运行不同 Windows 版本和配置的计算机上运行一致的 LOB 应用程序。在公司的所有计算机上部署 LOB 应用程序会带来大量的时间和成本开销，您可以在终端服务器上安装这些 LOB 应用程序并通过 TSRemoteApp 提供它们。
• 应用程序部署。使用 TSRemoteApp，您不必为各个计算机部署和维护同一程序的不同版本。如果员工需要使用一个程序的多个版本，则可以在一个或多个终端服务器上安装这些版本，然后用户可以通过 TSRemoteApp 访问它们。
• 漫游用户。在具有灵活的桌面策略的公司，用户可以从不同的计算机进行工作。在某些情况下，用户工作的计算机可能没有在本地安装必要的程序。通过使用 TSRemoteApp，可以在终端服务器上安装这些程序并将它们提供给用户，就好像在本地安装了这些程序一样。

 

 

如何部署 RemoteApp 程序？

 

在配置 TSRemoteApp 之前，应决定希望如何向用户分发 RemoteApp 程序。可以使用以下部署方法之一：

• 可以通过 TSWeb Access 分发 RemoteApp 程序在网站上提供 RemoteApp 程序。
• 可以通过文件共享或其他分发机制（如 Microsoft Systems Management Server 或 Active Directory 软件分发）将 RemoteApp 程序作为 .rdp 文件或 Windows Installer 程序包进行分发。

关于通过 TSWeb访问部署 RemoteApp 程序

 

如果使用 TSWeb Access，则可以直接通过 TSWeb Access 从单个终端服务器或服务器场或指向完整终端服务器桌面的链接来部署 RemoteApp 程序。为 TSWeb Access 配置的终端服务器或服务器场上的所有 RemoteApp 程序都将显示在 TSWeb Access 网站上。

备注
此外，TSWeb Access 还包括远程桌面 Web 连接功能，使用户能够通过 Web 浏览器连接到具有远程桌面访问权限的任何服务器或客户端计算机的远程桌面。您可以决定此功能是否对用户可用。有关详细信息，请参阅配置远程桌面 Web 连接行为。

 

若要通过使用 TSWeb Access 部署 RemoteApp 程序，必须完成以下任务。

 

任务	参考
1. 配置承载 RemoteApp 程序的服务器。此操作包括安装终端服务器、安装程序和验证远程连接设置。	配置承载 RemoteApp 程序的服务器
2. 使用 TSRemoteApp Manager 添加为 TSWeb Access 启用的 RemoteApp 程序，并配置全局部署设置。	添加 RemoteApp 程序并配置全局部署设置
3. 在希望用户通过 Web 连接访问 RemoteApp 程序的服务器上安装 TSWeb Access。	安装 TS Web 访问角色服务
4. 将 TSWeb Access 服务器的计算机帐户添加到终端服务器上的 TSWeb Access Computers 组中。	填充 TS Web Access Computers 安全组
5. 从单个终端服务器或单个终端服务器场配置 TSWeb Access 服务器以填充其 RemoteApp 程序列表。	为 TS Web 访问配置数据源

 

关于通过文件共享或其他分发机制部署 RemoteApp 程序

 

还可以通过文件共享或其他分发机制（如 Microsoft Systems Management Server 或 Active Directory 软件分发）提供的 .rdp 文件或 Windows Installer 程序包部署 RemoteApp 程序。通过这些方法可以在不使用 TSWeb Access 的情况下将 RemoteApp 程序分发到用户。

备注
如果通过 Windows Installer 程序包分发 RemoteApp 程序，还可以配置终端服务器是否将采用 RemoteApp 程序的客户端文件扩展名。如果是这种情况，用户可以双击文件扩展名与 RemoteApp 程序关联的文件。

 

必须完成以下任务，才能通过文件共享或某些其他分发机制来准备用于分发的 RemoteApp 程序。

 

任务	参考
1. 配置承载 RemoteApp 程序的服务器。此操作包括安装终端服务器、安装程序和验证远程连接设置。	配置承载 RemoteApp 程序的服务器
2. 使用 TSRemoteApp Manager 添加 RemoteApp 程序并配置全局部署设置。	添加 RemoteApp 程序并配置全局部署设置
3. 使用 TSRemoteApp Manager 从 RemoteApp 程序创建 .rdp 文件或 Windows Installer 程序包。	从 RemoteApp 程序创建 .rdp 文件 从 RemoteApp 程序创建 Windows Installer 程序包

在创建 .rdp 文件或 Windows Installer 程序包之后，可以将其分发到用户。

 

 

配置承载 RemoteApp 程序的服务器

 

在将 RemoteApp 程序部署到用户之前，必须配置服务器来承载 RemoteApp 程序。所涉及的过程如下：

• 安装“终端服务器”角色服务
• 在终端服务器上安装程序
• 验证远程连接设置

备注
这些过程适用于使用一台终端服务器托管 RemoteApp 程序的环境。

 

若要执行这些过程，您必须是终端服务器上 Administrators 组的成员。

安装“终端服务器”角色服务

 

若要安装终端服务器角色服务，请执行下列操作：

 

1. 打开服务器管理器。 要打开“服务器管理器”，请单击“开始”，指向“管理工具”，然后单击“服务器管理器”。

2. 在“角色摘要”下，单击“添加角色”。

3. 在添加角色向导的“开始之前”页上，单击“下一步”。

4. 在“选择服务器角色”页上，选中“终端服务”复选框，然后单击“下一步”。

5. 在“终端服务”页上，单击“下一步”。

6. 在“选择角色服务”页上，选中“终端服务器”复选框，然后单击“下一步”。

7. 在“卸载并重新安装兼容的应用程序”页上，查看信息，然后单击“下一步”。

8. 在“指定终端服务器的身份验证方法”页上，选择所需的身份验证方法，然后单击“下一步”。

9. 在“指定授权模式”页上，选择适合您的终端服务环境的授权模式，然后单击“下一步”。

10. 在“选择允许访问此终端服务器的用户组”页上，添加希望添加到 Remote Desktop Users 组中的任何用户或组，然后单击“下一步”。

11. 在“确认安装选择”页上，验证是否将安装“终端服务器”角色服务，然后单击“安装”。

12. 在“安装结果”页上，系统将提示您重新启动服务器以完成安装过程。单击“关闭”，然后单击“是”重新启动服务器。

13. 在服务器重新启动之后，远程配置向导将完成安装。当在“安装结果”页上看到“安装成功”状态消息时，请单击“关闭”。

 

 

在终端服务器上安装程序

 

建议您在安装了终端服务器角色服务之后，才在终端服务器上安装程序。如果通过 Windows Installer 程序包安装程序，该程序将自动在终端服务器安装模式下安装。如果要通过另一种安装程序包进行安装，请使用下列任一方法将服务器置于安装模式：

• 使用“控制面板”中的“在终端服务器上安装应用程序”选项来安装程序。
• 在安装程序之前，在命令行中运行 change user /install 命令。安装程序之后，运行 change user /execute 命令退出安装模式。

如果程序相互关联或相互依存，建议您将这些程序安装在同一台终端服务器上。例如，建议您将 Microsoft Office 作为一个套件来安装，而不要将各个 Office 程序分别安装在不同的终端服务器上。

在下列情况下，应考虑将各个程序分别安装在不同的终端服务器上：

• 程序存在兼容性问题，可能会影响其他程序。
• 一个应用程序及若干关联用户可能会耗尽服务器的能力。

 

验证远程连接设置

 

默认情况下，在安装了“终端服务器”角色服务之后，将启用远程连接。可以使用以下过程添加需要连接到终端服务器的用户和组，并验证或更改远程连接设置。

验证远程连接设置的步骤：

 

1. 启动“系统”工具。若要执行此操作，请依次单击「开始」和“运行”，在“打开”框中键入 control system，然后单击“确定”。

2. 在“任务”下，单击“远程设置”。

3. 在“系统属性”对话框中的“远程”选项卡上，确保根据您的环境正确配置了远程桌面连接设置。可以选择以下两个选项之一：

   • 允许运行任意版本远程桌面的计算机连接（比较不安全）
   • 只允许运行带网络级身份验证的远程桌面的计算机连接（比较安全）

   有关这两个选项的详细信息，单击“远程”选项卡上的“帮助我选择”链接。

4. 若要添加需要使用远程桌面连接到终端服务器的用户和组，单击“选择用户”，然后单击“添加”。

   您添加的用户和组将添加到 Remote Desktop Users 组中。

   备注
   本地 Administrators 组的成员即使未列出也可以连接。

    

5. 完成之后，请单击“确定”关闭“系统属性”对话框。

 

 

 

添加 RemoteApp 程序并配置全局部署设置

 

在准备好承载 RemoteApp 程序的终端服务器之后，可以使用 TSRemoteApp Manager 执行下列操作：

• 将程序添加到 RemoteApp 程序列表
• 配置全局部署设置

在 TSRemoteApp Manager 中，您可以删除、修改或从其他终端服务器导入 RemoteApp 程序和设置，或者将 RemoteApp 程序和设置导出到其他终端服务器。有关详细信息，请参阅管理 RemoteApp 程序和设置。

将程序添加到 RemoteApp 程序列表

 

若要使 RemoteApp 程序可由用户通过任何分发机制进行访问，必须将该程序添加到“RemoteApp 程序”列表中。默认情况下，添加到列表中的程序将被配置为可以通过 TSWeb Access 访问。

将程序添加到 RemoteApp 程序列表的步骤：

 

1. 启动 TSRemoteApp Manager。为此，单击「开始」，依次指向“管理工具”、“终端服务”，然后单击“TS RemoteApp 管理器”。

2. 在“操作”窗格中，单击“添加 RemoteApp 程序”。

3. 在“欢迎使用 RemoteApp 向导”页上，单击“下一步”。

4. 在“选择要添加到 RemoteApp 程序列表的程序”页上，选中要添加到“RemoteApp 程序”列表中的每个程序旁边的复选框。可以选择多个程序。

   备注
   “选择要添加到 RemoteApp 程序列表的程序”页上显示的程序是终端服务器上“所有用户”的「开始」菜单上出现的程序。如果您要添加到“RemoteApp 程序”列表中的程序不在该列表中，则单击“浏览”，然后指定程序的 .exe 文件的位置。

    

5. 若要配置 RemoteApp 程序的属性，请单击该程序名称，然后单击“属性”。您可以配置下列属性：

   • 将向用户显示的程序名。若要更改该名称，在“RemoteApp 程序名称”框中键入新名称。
   • 程序可执行文件的路径。若要更改该路径，在“位置”框中键入新路径，或单击“浏览”找到 .exe 文件。

     备注
     可以在路径名称中使用系统环境变量。例如，可以使用 %windir% 代替 Windows 文件夹的显式路径（例如 C:\Windows）。不能使用针对用户的环境变量。

      

   • RemoteApp 程序的别名。别名是程序的唯一标识符，默认值为程序的文件名（不带扩展名）。建议您不要更改此名称。
   • RemoteApp 程序是否可通过 TSWeb Access 进行访问。默认情况下，将启用“RemoteApp 程序可通过 TS Web 访问获得”设置。若要更改此设置，选中或清除该复选框。
   • 允许还是不允许命令行参数，或是否始终使用相同的命令行参数。
   • 将使用的程序图标。若要更改该图标，单击“更改图标”。

6. 完成了程序属性的配置之后，单击“确定”，然后单击“下一步”。

7. 在“复查设置”页上，复查设置，然后单击“完成”。

   所选的程序应出现在“RemoteApp 程序”列表中。

 

 

配置全局部署设置

 

可以配置应用于“RemoteApp 程序”列表中的所有 RemoteApp 程序的全局部署设置。这些设置将应用于任何可通过 TSWeb Access 访问的 RemoteApp 程序。此外，如果通过列出的任何 RemoteApp 程序创建 .rdp 文件或 Windows Installer 程序包，这些设置将作为默认设置使用。

备注
使用 TSRemoteApp Manager 创建 .rdp 文件或 Windows Installer 程序包时，对部署设置所做的任何更改将覆盖全局设置。

 

这些全局部署设置包括：

• 终端服务器设置
• TS 网关设置
• 常用远程桌面协议 (RDP) 设置
• 自定义 RDP 设置
• 数字签名设置

配置终端服务器设置

 

若要定义用户将如何连接到终端服务器（或终端服务器场）以访问 RemoteApp 程序，可以配置终端服务器部署设置。

配置终端服务器设置的步骤：

 

1. 在 TSRemoteApp Manager 的“操作”窗格中，单击“终端服务器设置”。（或者，在“概述”窗格中，单击“终端服务器设置”旁边的“更改”。）

2. 在“终端服务器”选项卡上的“连接设置”下，接受或修改服务器名称或场名称、RDP 端口号和服务器身份验证设置。

   重要事项
   如果选中了“需要服务器身份验证”复选框，则考虑下列事项：

    

   • 如果任何客户端计算机正在运行带 SP1 的 Windows Server2003、带 SP2 的 Windows Server2003 或带 SP2 的 WindowsXP，则必须将终端服务器配置为使用安全套接字层 (SSL) 证书。（不能使用自签名证书。）
   • 如果 RemoteApp 程序针对在 Intranet 中使用，并且所有客户端计算机均正在运行 Windows Server2008 或 WindowsVista，则不必将终端服务器配置为使用 SSL 证书。在这种情况下，应使用网络级身份验证。

3. 若要通过 TSWeb Access 提供指向完整终端服务器桌面的链接，请在“远程桌面访问”下，选中“在 TS Web 访问中显示到此终端服务器的远程桌面连接”复选框。

4. 在“访问未列出的程序”下，选择下列任一选项：

   • 不允许用户在初始连接时启动未列出的程序(推荐) 为了帮助防止恶意用户的攻击，或帮助防止用户在初始连接时无意中通过 .rdp 文件启动程序，建议您选择此设置。

     重要事项
     此设置不会阻止用户在使用 RemoteApp 程序连接到终端服务器之后，远程启动未列出的程序。例如，如果 Microsoft Word 在“RemoteApp 程序”列表中，而 Microsoft Internet Explorer 不在该列表中，若用户启动远程 Word 会话，然后单击 Word 文档中的某个超级链接，可以启动 Internet Explorer。

      

   • 允许用户在初始连接时启动列出和未列出的程序

     注意
     如果选择此选项，用户可以在初始连接时通过 .rdp 文件远程启动任何程序，而不仅仅是“RemoteApp 程序”列表中的程序。为了帮助防止恶意用户的攻击，或帮助防止用户无意中通过 .rdp 文件启动程序，建议您不要选择此设置。

      

5. 完成操作后，单击“确定”。

 

 

配置 TS 网关设置

 

若要定义用户是否将使用 TS网关 通过防火墙访问终端服务器，可以配置 TS网关 部署设置。有关 TS网关的详细信息，请参阅“TS网关循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=85872)（可能为英文网页）。

配置 TS 网关设置的步骤：

 

1. 在 TSRemoteApp Manager 的“操作”窗格中，单击“TS 网关设置”。（或者，在“概述”窗格中，单击“TS 网关设置”旁边的“更改”。）

2. 在“TS 网关”选项卡上，配置所需的 TS网关行为。可以配置自动检测 TS网关 服务器设置，还是使用指定的 TS网关 服务器设置，还是不使用 TS网关 服务器。

   如果选择“自动检测 TS 网关服务器设置”，客户端将尝试使用组策略设置确定 TS网关 的客户端连接的行为。

   备注
   有关客户端组策略设置的详细信息，请参阅帮助主题“使用组策略通过 TS 网关管理客户端连接”。（若要打开基于 Windows Server2008 服务器上的 TS网关帮助，请依次单击「开始」、“运行”，键入 hh ts_gateway.chm，然后单击“确定”。）

    

   如果选择“使用这些 TS 网关服务器设置”，请执行下列操作：

   1. 配置 TS网关服务器名称和登录方法。

      重要事项
      服务器名称必须与 SSL 证书中为 TS网关服务器指定的服务器名称匹配。

       

   2. 如果希望连接尝试使用相同的用户凭据访问 TS网关 服务器和终端服务器，则选中“对 TS 网关和终端服务器使用相同用户凭据”复选框。但是，如果任何源（例如组策略设置）中存在冲突的凭据，并且这些凭据无法使用，用户仍可能会收到两次提供凭据的提示。如果连接使用默认凭据，并且这些凭据无法使用，用户也可能会收到两次提供凭据的提示。
   3. 如果希望客户端计算机自动检测何时需要 TS网关，则选中“不对本地地址使用 TS 网关服务器”复选框。（选中此选项可以优化客户端的性能。） 若要对客户端连接始终使用 TS网关 服务器，则清除“不对本地地址使用 TS 网关服务器”复选框。

3. 完成操作后，单击“确定”。

 

 

配置常用 RDP 设置（可选）

 

可以为 RemoteApp 连接指定通用远程桌面协议 (RDP) 设置，例如设备和资源重定向以及某些用户显示设置。用户通过 TSWeb Access 连接到 RemoteApp 程序时，或您通过现有的 RemoteApp 程序创建 .rdp 文件或 Windows Installer 程序包时，将应用这些设置。

配置常用 RDP 设置的步骤：

 

1. 在 TSRemoteApp Manager 的“概述”窗格中，单击“RDP 设置”旁边的“更改”。

2. 在“设备和资源”下，配置希望使客户端计算机上的哪些设备和资源可以在远程会话中访问。

3. 在“用户体验”下，选择是否启用字体平滑和所需的颜色深度。

4. 完成后，单击“应用”。

   备注
   若要配置其他 RDP 设置（例如音频重定向），单击“自定义 RDP 设置”选项卡。有关详细信息，请参阅配置自定义 RDP 设置。

    

5. 若要关闭“RemoteApp 部署设置”对话框，单击“确定”。

 

备注
如果没有使用数字签名为 .rdp 文件签名，或使用客户端无法识别的数字签名（例如私有证书颁发机构颁发的证书）为 .rdp 文件签名，客户端可能会覆盖您在 TSRemoteApp Manager 中指定的某些重定向设置。例如，如果在“通用 RDP 设置”选项卡上启用了所有重定向设置，而用户连接到未签名的 .rdp 文件，将无法自动重定向磁盘驱动器以及支持的即插即用设备。只有用户在尝试连接时出现的 RemoteApp 警告对话框中启用了这些重定向设置，才能重定向这些设备和资源。此默认行为有助于减少潜在的安全漏洞。（注意，如果在“自定义 RDP 设置”选项卡上启用了串口重定向，将发生相同的行为。）

 

 

配置自定义 RDP 设置（可选）

 

可以为 RemoteApp 连接指定自定义 RDP 设置，如音频重定向。用户通过 TSWeb Access 连接到 RemoteApp 程序时，或您通过现有的 RemoteApp 程序创建 Windows Installer 程序包或 .rdp 文件时，将应用这些设置。

备注
可以使用自定义 RDP 设置为 RemoteApp 程序配置工作目录。默认情况下，RemoteApp 程序的工作目录与该程序的可执行文件位于同一位置。如果将工作目录配置为自定义 RDP 设置，则该设置将应用于通过 TSWeb Access 提供的所有 RemoteApp 程序和通过 RemoteApp 程序创建的任何 .rdp 文件或 Windows Installer 程序包。如果需要对计划作为 .rdp 文件或 Windows Installer 程序包分发的 RemoteApp 程序自定义工作目录，则可以将工作目录作为自定义 RDP 设置进行添加，通过 RemoteApp 程序创建文件，然后清除工作目录自定义 RDP 设置。

 

指定自定义 RDP 设置的步骤：

 

1. 在 TSRemoteApp Manager 的“概述”窗格中，单击“RDP 设置”旁边的“更改”。

2. 在“自定义 RDP 设置”选项卡上，在“自定义 RDP 设置”框中键入或复制要使用的自定义 RDP 设置。

   若要从现有的 .rdp 文件中复制设置，在记事本之类的文本编辑器中打开该文件，然后复制所需的设置。

   重要事项
   不能覆盖 TSRemoteApp Manager 的全局部署设置中的可用设置。如果这样做，在您单击“应用”时，系统将提示您删除这些设置。

    

   若要创建要从中复制设置的 .rdp 文件，请执行下列步骤：

   1. 打开 RDC 客户端，然后单击“选项”。
   2. 配置所需的设置，例如音频重定向。
   3. 完成后，在“常规”选项卡上，单击“另存为”，然后保存 .rdp 文件。
   4. 在记事本中打开该 .rdp 文件，然后将所需的设置复制到“自定义 RDP 设置”选项卡上的“自定义 RDP 设置”框中。

3. 完成了所需设置的添加之后，单击“应用”。

4. 如果“自定义 RDP 设置出错”对话框出现，请执行下列操作：

   1. 单击“删除”自动删除无效的设置或无法覆盖的设置，或单击“确定”手动删除设置。
   2. 删除了设置之后，再次单击“应用”。

5. 若要关闭“RemoteApp 部署设置”对话框，单击“确定”。

 

 

配置数字签名设置（可选）

 

可以使用数字签名为用于将 RemoteApp 连接到终端服务器的 .rdp 文件签名。这包括用于通过 TSWeb Access 连接到终端服务器上的 RemoteApp 程序和终端服务器桌面的 .rdp 文件。

重要事项
若要使用已进行数字签名的 .rdp 文件连接到 RemoteApp 程序，客户端运行的必须是 RDC6.1。（RDC6.1 [6.0.6001] 客户端支持远程桌面协议6.1。）

 

如果使用数字证书，连接文件上的加密签名将提供有关您作为其发布者的身份的可验证信息。这样，客户端可以将您的组织识别为 RemoteApp 程序或远程桌面连接的源，使客户端可以对是否启动连接做出更合理的信任决定。这样可以防止使用恶意用户已篡改的 .rdp 文件。

可以使用服务器身份验证证书（SSL 证书）或代码签名证书为用于 RemoteApp 连接的 .rdp 文件签名。可以从公用证书颁发机构 (CA) 或您的公钥基础结构层次结构中的某个企业 CA 获取 SSL 证书和代码签名证书。

如果已在对终端服务器连接或 TS网关连接使用 SSL 证书，可以使用同一个证书为 .rdp 文件签名。但是，如果用户将从公用计算机或家用计算机连接到 RemoteApp 程序，则必须使用下列任一证书：

• 参与 Microsoft 根证书程序成员计划的公用证书颁发机构 (CA) 颁发的证书 (http://go.microsoft.com/fwlink/?LinkID=59547)（可能为英文网页）。
• 如果使用的是企业 CA，必须由参与 Microsoft 根证书程序成员计划的公用 CA 为企业 CA 颁发的证书共同签名。

配置要使用的数字证书的步骤：

 

1. 在 TSRemoteApp Manager 的“操作”窗格中，单击“数字签名设置”。（或者，在“概述”窗格中，单击“数字签名设置”旁边的“更改”。）

2. 选中“使用数字证书签名”复选框。

3. 在“数字证书详细信息”框中，单击“更改”。

4. 在“选择证书”对话框中，选择要使用的证书，然后单击“确定”。

   备注
   “选择证书”对话框由本地计算机的证书存储区或您的个人证书存储区中的证书填充。要使用的证书必须位于这两个存储区的任一存储区中。

    

 

控制在打开已进行数字签名的 .rdp 文件时客户端行为的组策略设置

 

可以使用组策略配置客户端，使其始终将来自特定发行者的 RemoteApp 程序识别为可信程序。还可以配置客户端是否将阻止来自外部源或未知源的 RemoteApp 程序和远程桌面连接。通过使用这些策略设置，可以减少用户需要做的安全决策，并降低安全决策的复杂程度。这样，可以降低用户的意外操作导致产生安全漏洞的机率。

相关的组策略设置位于本地组策略编辑器中的以下位置（在“计算机配置”和“用户配置”节点中）：

管理模板\Windows 组件\终端服务\远程桌面连接客户端

可用的策略设置包括：

• 指定代表可信 .rdp 发行者的证书的 SHA1 指纹 使用此策略设置可以指定表示受信任 .rdp 文件发行者的安全哈希算法 1 (SHA1) 证书指纹列表。如果启用此策略设置，则任何具有与列表中指纹相匹配的 SHA1 指纹的证书都被认为是可信证书。
• 允许来自有效发行者的 .rdp 文件以及用户的默认 .rdp 设置 使用此策略设置可以指定用户是否可以运行来自发行者使用有效证书签名的 .rdp 文件。此策略设置还控制用户是否可以使用默认的 .rdp 设置启动 RDP 会话，例如，用户在不指定 .rdp 文件时直接打开 RDC 客户端。
• 允许来自未知发行者的 .rdp 文件 使用此策略设置可以指定用户是否可以运行来自客户端计算机上未知发行者的未签名 .rdp 文件和 .rdp 文件。

重要事项
若要使用这些组策略设置，客户端计算机必须运行 RDC6.1。

 

有关这些策略设置的详细信息，请查看本地组策略编辑器中的组策略说明文本。

 

 

 

管理 RemoteApp 程序和设置

 

在 TSRemoteApp Manager 中，可以更改现有的 RemoteApp 程序，也可以从列表中删除该程序。此外，还可以将“RemoteApp 程序”列表和全局部署设置导出到另一台终端服务器，或从另一台终端服务器导入这些内容。

• 更改或删除 RemoteApp 程序
• 导出或导入 RemoteApp 程序和设置

更改或删除 RemoteApp 程序

 

将程序添加到“RemoteApp 程序”列表后，可以更改所有 RemoteApp 程序的部署设置，更改单个 RemoteApp 程序的属性，或将 RemoteApp 程序从列表中删除。

• 若要更改所有 RemoteApp 程序的部署设置，在 TSRemoteApp Manager 的“操作”窗格中，单击“终端服务器设置”、“TS 网关设置”或“数字签名设置”。（或者在“概述”窗格中单击某个“更改”选项。还可以在“概述”窗格中更改自定义 RDP 设置。）

  重要事项
  如果进行了任何更改，更改不会影响已使用 TSRemoteApp Manager 创建的 .rdp 文件或 Windows Installer 程序包。

   

• 若要更改单个 RemoteApp 程序的属性，在“RemoteApp 程序”列表中单击该程序，然后在该程序的“操作”窗格中，单击“属性”。

  备注
  不能使用 TSRemoteApp Manager 更改现有 .rdp 文件或 Windows Installer 程序包的属性。必须在“操作”窗格中单击“创建 .rdp 文件”或“创建 Windows Installer 程序包”，以创建具有所需属性的新 .rdp 文件或 Windows Installer 程序包。

   

• 若要更改是否可以通过 TSWeb Access 访问 RemoteApp 程序，请单击该程序，然后在“操作”窗格中单击“在 TS Web 访问中显示”或“在 TS Web 访问中隐藏”。
• 若要删除“RemoteApp 程序”列表中的某个程序，单击该 RemoteApp 程序，然后在该程序的“操作”窗格中，单击“删除”。单击“是”确认删除操作。

  备注
  删除“RemoteApp 程序”列表中的某个程序时，不会删除任何使用 RemoteApp 程序创建的 .rdp 文件或 Windows Installer 程序包。

   

 

导出或导入 RemoteApp 程序和设置

 

可以将“RemoteApp 程序”列表和部署设置从一台终端服务器复制到另一台终端服务器。如果希望对多台终端服务器进行相同的配置以托管 RemoteApp 程序（例如在终端服务器场中），可能需要这样做。

导出 RemoteApp 程序列表和部署设置的步骤：

 

1. 启动 TSRemoteApp Manager。

2. 在“操作”窗格中，单击“导出 RemoteApp 设置”。

3. 选择下列任一选项：

   • 将 RemoteApp 程序列表和设置导出到其他终端服务器 如果选择此选项，请在“终端服务器名称”框中输入要从中导出设置的终端服务器的名称，然后单击“确定”。（为了成功地完成导出操作，源终端服务器必须可以通过 Windows Management Instrumentation (WMI) 访问目标终端服务器。）

     重要事项
     如果单击“确定”，将自动覆盖目标终端服务器上的“RemoteApp 程序”列表和部署设置。

      

   • 将 RemoteApp 程序列表和设置导出到文件 如果选择此选项，则单击“确定”。在“另存为”对话框中，指定保存 .tspub 文件的位置，然后单击“保存”。

 

导入 RemoteApp 程序列表和部署设置的步骤：

 

1. 启动 TSRemoteApp Manager。

2. 在“操作”窗格中，单击“导入 RemoteApp 设置”。

3. 选择下列任一选项：

   • 从其他终端服务器中导入 RemoteApp 程序列表和设置 如果选择此选项，请在“终端服务器名称”框中输入要从中导入设置的终端服务器的名称，然后单击“确定”。此设置将直接导入 TSRemoteApp Manager 中。（为了成功地完成导入操作，源终端服务器必须可以通过 WMI 访问目标终端服务器。）
   • 从文件中导入 RemoteApp 程序列表和设置 如果选择此选项，则单击“确定”。在“打开”对话框中，找到并单击要导入的 .tspub 文件，然后单击“打开”。

 

如果导入配置，并且目标终端服务器上未安装“RemoteApp 程序”列表中的某个程序或该程序安装在其他文件夹中，该程序将出现在“RemoteApp 程序”列表中。但是，该名称将显示为带有删除线的文本。

备注
只会导出或导入“RemoteApp 程序”列表和部署设置。不会导出或导入任何通过程序创建的 .rdp 文件或 Windows Installer 程序包。除非服务器是终端服务器场的成员，否则，必须在每台终端服务器上创建新的 .rdp 文件或 Windows Installer 程序包。如果在创建 .rdp 文件或 Windows Installer 程序包时指定了场名称，并且要将文件复制到的服务器是同一个终端服务器场的成员，则可以手动复制文件。

 

 

 

 

向用户部署 RemoteApp 程序

 

以下部分包括有关如何通过 TSWeb Access 或通过文件共享或其他分发机制向用户部署 RemoteApp 程序的说明。

通过 TSWeb访问部署 RemoteApp 程序

 

使用 TSWeb Access，用户可以从 Internet 上的网站或从 Intranet 访问 RemoteApp 程序。若要启动 RemoteApp 程序，用户只需单击程序图标即可。TSWeb Access 提供了一个使用最小配置的解决方案。默认的 TSWeb Access 网页包括可自定义的 Web 部件，可以将其合并到自定义网页。

备注
有关客户端要求的信息，请参阅客户端要求和配置。

 

若要使用 TSWeb Access 部署 RemoteApp 程序，必须执行以下操作：

1. 安装 TSWeb Access 角色服务。
2. 填充 TSWeb Access 计算机安全组。
3. 指定从其填充 TSWeb Access Web 部件中将出现的 RemoteApp 程序列表的终端服务器。

安装 TS Web 访问角色服务

 

必须在希望用户通过 Web 连接以访问 RemoteApp 程序的服务器上安装 TSWeb Access 角色服务。在安装 TSWeb Access 角色服务时，还会安装 Microsoft Internet 信息服务 (IIS)7.0。

安装了 TSWeb Access 的服务器充当 Web 服务器。该服务器不必是终端服务器。

备注
默认情况下，在安装 TSWeb Access 时，TSWeb Access 网站将安装到 IIS 中的“默认网站”。若要更改网站的默认安装位置，可以在注册表中配置其他位置。必须在安装 TSWeb Access 角色服务之前执行此操作。有关详细信息，请参阅本指南后面的“更改默认 TSWeb 访问网站的安装位置”部分。

 

本地 Administrators 组中的成员身份是完成此过程所需的最低要求。

安装 TS Web 访问的步骤：

 

1. 打开服务器管理器。 要打开“服务器管理器”，请单击“开始”，指向“管理工具”，然后单击“服务器管理器”。

2. 如果已安装“终端服务”角色，请执行下列操作：

   1. 在“角色摘要”下，单击“终端服务”。
   2. 在“角色服务”下，单击“添加角色服务”。
   3. 在“选择角色服务”页上，选中“TS Web 访问”复选框。

   如果未安装“终端服务”角色，请执行下列操作：

   1. 在“角色摘要”下，单击“添加角色”。
   2. 在“开始之前”页上，单击“下一步”。
   3. 在“选择服务器角色”页上，选中“终端服务”复选框，然后单击“下一步”。
   4. 查看“终端服务”页，然后单击“下一步”。
   5. 在“选择角色服务”页上，选中“TS Web 访问”复选框。

3. 查看必需的角色服务的有关信息，然后单击“添加必需的角色服务”。

4. 单击“下一步”。

5. 查看“Web 服务器 (IIS)”页，然后单击“下一步”。

6. 在提示您选择要为 IIS 安装的角色服务的“选择角色服务”页上，单击“下一步”。

7. 在“确认安装选择”页上，单击“安装”。

8. 在“安装结果”页上，确认安装已成功，然后单击“关闭”。

 

 

填充 TS Web Access Computers 安全组

 

如果 TSWeb Access 服务器和托管 RemoteApp 程序的终端服务器是不同的服务器，则必须将 TSWeb Access 服务器的计算机帐户添加到终端服务器上的 TSWeb Access Computers 安全组中。

将 TS Web 访问服务器的计算机帐户添加到安全组的步骤：

 

1. 在终端服务器上，单击「开始」，指向“管理工具”，然后单击“计算机管理”。

2. 在左侧窗格中，展开“本地用户和组”，然后单击“组”。

3. 在右侧窗格中，双击“TS Web 访问计算机”。

4. 在“TS Web 访问计算机属性”对话框中，单击“添加”。

5. 在“选择用户或组”对话框中，单击“对象类型”。

6. 在“对象类型”对话框中，选中“计算机”复选框，然后单击“确定”。

7. 在“输入要选择的对象名称”框中，指定 TSWeb Access 服务器的计算机帐户，然后单击“确定”。

8. 单击“确定”关闭“TS Web 访问计算机属性”对话框。

 

 

为 TS Web 访问配置数据源

 

可以配置 TSWeb Access 来填充显示在指定终端服务器或终端服务器场的 Web 部件中的 RemoteApp 程序列表。

为 TS Web 访问指定数据源

 

默认情况下，TSWeb Access 将从单个终端服务器填充其 RemoteApp 程序列表，并指向本地主机。Web 部件由该终端服务器的“RemoteApp 程序”列表中为 TSWeb Access 启用的所有 RemoteApp 程序填充。

若要完成此过程，必须使用 TSWeb Access 服务器上的本地 Administrator 帐户或作为 TS Web Access Administrators 组成员的帐户登录到 TSWeb Access 服务器。

指定要充当数据源的终端服务器的步骤：

 

1. 连接到 TSWeb Access 网站。为此，请使用下列任一方法：

   • 在 TSWeb Access 服务器上，单击「开始」，依次指向“管理工具”、“终端服务”，然后单击“TS Web 访问管理”。
   • 使用 Internet Explorer 连接到 TSWeb Access 网站。默认情况下，该网站位于以下地址，其中 server_name 是 TSWeb Access 服务器的名称： http://server_name/ts

2. 使用本地 Administrator 帐户或作为本地 TSWeb Access Administrators 组成员的帐户登录到站点。（如果已使用其中任一帐户登录到该计算机，系统不会提示您输入凭据。）

3. 在标题栏上，单击“配置”选项卡。

   备注
   如果使用“TSWeb Access 管理”选项访问 TSWeb Access 网站，该页将自动打开至“配置”选项卡。

    

4. 在“编辑器区域”区域的“终端服务器名称”框中，输入要充当数据源的终端服务器的名称。

5. 单击“应用”以应用更改。

 

若要测试 TSWeb Access，请参阅连接到 TS Web 访问。

 

 

连接到 TS Web 访问

 

默认情况下，可以访问以下位置的 TSWeb Access 网站，其中 server_name 是安装了 TSWeb Access 的 Web 服务器的 NetBIOS 名称或完全限定的域名：

http://server_name/ts

如果通过公用计算机（例如网吧中的计算机）连接到 TSWeb Access，应清除 Web 部件右下角出现的“我使用的是符合组织安全策略的专用计算机”复选框。在公用模式下，不会提供保存凭据的选项，并且不启用位图缓存。

客户端要求和配置

 

若要连接到 TSWeb Access，客户端计算机必须运行 RDC 6.1。RDC6.1 包括在以下操作系统中：

• Windows Server2008
• 带有 SP1 的 WindowsVista
• 带有 SP3 的 WindowsXP

此外，还必须启用终端服务 ActiveX 客户端控件。该 ActiveX 控件随 RDC6.1 一起提供。

如果您运行的是 Windows Server2008 或 WindowsVista SP1，并且在 Internet Explorer 信息栏上收到有关限制站点显示特定内容的警告消息，请单击该消息行，指向“禁用的加载项”，然后单击“运行 ActiveX 控件”。执行此操作时，可能会出现安全警告。确保该 ActiveX 控件的发行者是“Microsoft Corporation”，然后再单击“运行”。

备注
如果 Internet Explorer 信息栏未出现，并且无法连接到 TSWeb Access，可以在 Internet Explorer 的“工具”菜单上，使用“管理加载项”工具启用终端服务 ActiveX 控件。该加载项显示为“Microsoft Terminal Services 客户端控件”。

 

如果您运行的是带 SP3 的 WindowsXP，在您首次访问 TSWeb Access站点时，该页将显示一条“未安装或未启用 ActiveX 控件”错误信息。请使用以下步骤启用 ActiveX 控件。

在带 SP3 的 WindowsXP 中启用 ActiveX 控件的步骤

 

1. 连接到 TSWeb Access站点，然后输入您的登录凭据。

2. 根据运行的 Internet Explorer 版本，执行以下操作之一。

   • 如果使用的是 Internet Explorer7，请在“工具”菜单中指向“管理加载项”，然后单击“启用或禁用加载项”。
   • 如果使用的是 Internet Explorer6，请在“工具”菜单中单击“管理加载项”。

   此时将出现“管理加载项”对话框。确保将“显示”列表设置为“Internet Explorer 中当前加载的加载项”。

3. 在“已禁用”下，单击“Microsoft 终端服务客户端控件(redist)”或“Microsoft RDP 客户端控件(redist)”--无论列出哪个。

4. 在“设置”下，单击“启用”。（如果运行的是 Internet Explorer6，在您收到需要重新启动 Internet Explore 才能使更改生效的消息时，请单击“确定”。）

   备注
   如果 ActiveX 控件列出了两次，请同时启用这两个实例。

    

5. 单击“确定”关闭“管理添加项”对话框。（如果运行的是 Internet Explorer7，在您收到需要重新启动 Internet Explore 才能使更改生效的消息时，请单击“确定”。）

   任何可用的 RemoteApp 程序都应显示在 TSWeb Access网站上。

 

 

 

 

通过文件共享或其他分发方法部署 RemoteApp 程序

 

可以通过文件共享或其他分发机制提供的 .rdp 文件或 Windows Installer 程序包为用户部署 RemoteApp 程序。可以使用 TSRemoteApp Manager 从“RemoteApp 程序”列表中的 RemoteApp 程序创建 .rdp 文件或 Windows Installer 程序包。

从 RemoteApp 程序创建 .rdp 文件

 

可以使用 RemoteApp 向导，通过“RemoteApp 程序”列表中的任意程序创建 .rdp 文件。

创建 .rdp 文件的步骤：

 

1. 启动 TSRemoteApp Manager。为此，单击「开始」，依次指向“管理工具”、“终端服务”，然后单击“TS RemoteApp 管理器”。

2. 在“RemoteApp 程序”列表中，单击要为其创建 .rdp 文件的程序。若要选择多个程序，请按住 Ctrl 键并单击每个程序名。

3. 在该程序或所选程序的“操作”窗格中，单击“创建 .rdp 文件”。

   备注
   如果选择了多个程序，此过程剩余部分所述的设置适用于所有选定程序。为每个程序分别创建一个 .rdp 文件。

    

4. 在“欢迎使用 RemoteApp 向导”页上，单击“下一步”。

5. 在“指定程序包设置”页上执行下列操作：

   1. 在“输入要保存程序包的位置”框中，接受默认位置，或单击“浏览”指定用于保存 .rdp 文件的新位置。
   2. 在“终端服务器设置”区域，单击“更改”修改终端服务器名称或场名称、RDP 端口号和“需要服务器身份验证”设置。（有关这些设置的详细信息，请参阅配置终端服务器设置。）完成操作后，单击“确定”。
   3. 在“TS 网关设置”区域，单击“更改”修改或配置客户端是否将使用 TS网关 服务器跨防火墙连接到目标终端服务器。（有关这些设置的详细信息，请参阅配置 TS 网关设置。）完成操作后，单击“确定”。

      备注
      有关 TS网关的详细信息，请参阅“TS网关循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=85872)（可能为英文网页）。

       

   4. 若要为 .rdp 文件进行数字签名，请在“证书设置”部分，单击“更改”选择或更改要使用的证书。选择要使用的证书，然后单击“确定”。（有关这些设置的详细信息，请参阅配置数字签名设置（可选）。）

6. 完成后，单击“下一步”。

7. 在“复查设置”页上，单击“完成”。

   向导完成后，保存 .rdp 文件的文件夹将在新窗口中打开。可以确认已创建 .rdp 文件。

 

 

从 RemoteApp 程序创建 Windows Installer 程序包

 

可以使用 RemoteApp 向导，通过“RemoteApp 程序”列表中的任意程序创建 Windows Installer (.msi) 程序包。

创建 Windows Installer 程序包的步骤：

 

1. 启动 TSRemoteApp Manager。为此，单击「开始」，依次指向“管理工具”、“终端服务”，然后单击“TS RemoteApp 管理器”。

2. 在“RemoteApp 程序”列表中，单击要为其创建 Windows Installer 程序包的程序。若要选择多个程序，请按住 Ctrl 键并单击每个程序名。

3. 在该程序或所选程序的“操作”窗格中，单击“创建 Windows Installer 程序包”。

   备注
   如果选择了多个程序，此过程剩余部分所述的设置适用于所有选定程序。为每个程序分别创建一个 Windows Installer 程序包。

    

4. 在“欢迎使用 RemoteApp 向导”页上，单击“下一步”。

5. 在“指定程序包设置”页上执行下列操作：

   1. 在“输入要保存程序包的位置”框中，接受默认位置，或单击“浏览”指定用于保存 Windows Installer 程序包的新位置。
   2. 在“终端服务器设置”区域，单击“更改”修改终端服务器名称或场名称、RDP 端口号和“需要服务器身份验证”设置。（有关这些设置的详细信息，请参阅配置终端服务器设置。）完成操作后，单击“确定”。
   3. 在“TS 网关设置”区域，单击“更改”修改或配置客户端是否将使用 TS网关 服务器跨防火墙连接到目标终端服务器。（有关这些设置的详细信息，请参阅配置 TS 网关设置。）完成操作后，单击“确定”。

      备注
      有关 TS网关的详细信息，请参阅“TS网关循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=85872)（可能为英文网页）。

       

   4. 若要为该文件进行数字签名，请在“证书设置”部分，单击“更改”选择或更改要使用的证书。选择要使用的证书，然后单击“确定”。（有关这些设置的详细信息，请参阅配置数字签名设置（可选）。）

6. 完成后，单击“下一步”。

7. 在“配置分发程序包”页上执行下列操作：

   1. 在“快捷方式图标”区域，指定该程序的快捷方式图标将出现在客户端计算机上的哪个位置。
   2. 在“接管客户端扩展”区域，配置是否接管该程序的客户端文件扩展名。 如果将客户端计算机上的文件扩展名与 RemoteApp 程序关联，对于终端服务器上由该程序处理的所有文件扩展名，在客户端计算机上也将与 RemoteApp 程序关联。例如，如果将 Microsoft Word 添加为 RemoteApp 程序，并且配置选项以使用客户端文件扩展名，则客户端计算机上 Word 使用的任何文件扩展名都将与远程 Word 关联。这意味着客户端计算机上的任何现有程序将不再处理扩展名为 .doc 和 .dot 之类的文件。注意，系统不会提示用户终端服务器是否应使用该程序的文件扩展名。 若要查看与终端服务器上的某个程序关联的文件扩展名，依次单击「开始」、“控制面板”，然后双击“默认程序”。单击“将文件类型或协议与程序关联”，以查看文件扩展名及其默认关联的程序。

      注意
      不要在终端服务器上安装启用此设置时创建的 Windows Installer 程序包。否则，使用 Windows Installer 程序包的客户端可能无法启动关联的 RemoteApp 程序。

       

8. 配置了分发程序包的属性之后，单击“下一步”。

9. 在“复查设置”页上，单击“完成”。

   完成向导后，保存 Windows Installer 程序包的文件夹将在新窗口中打开。可以确认已创建 Windows Installer 程序包。

 

 

 

 

使 RemoteApp 程序可通过 Internet 进行访问

 

通过结合使用 TSRemoteApp 和 TS网关，用户可以通过 Internet 连接到终端服务器上的各个程序，而不必先建立虚拟专用网络 (VPN) 连接。（此外，如果不希望部署 TS网关，可以使 RemoteApp 程序能够通过 VPN 解决方案进行访问。）根据您选择的部署方法，远程用户可以通过下列方式连接到程序：打开 .rdp 文件；在桌面或「开始」菜单上单击 Windows Installer 程序包的快捷方式；或通过 TSWeb Access 访问网页上的 RemoteApp 程序。

若要使 RemoteApp 程序可通过 TS网关从 Internet 进行访问，请执行下列步骤：

1. 确保满足下列先决条件：
   • 必须已在终端服务器上部署 RemoteApp 程序。
   • 如果希望使 RemoteApp 程序可使用 TSWeb Access 通过 Internet 进行访问，必须已在 Intranet 环境中成功地部署 TSWeb Access。
2. 请参阅“TS网关循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=85872)（可能为英文网页）。
3. 按照“TS网关循序渐进指南”中的过程操作，部署和配置 TS网关。在执行此任务时，请确保进行了以下操作：
   1. 创建终端服务连接授权策略 (TSCAP)，用于定义可以连接到托管 RemoteApp 程序的终端服务器的用户组列表。有关详细信息，请参阅 TS网关 循序渐进指南中的“为 TS网关服务器创建 TSCAP”部分。
   2. 创建终端服务资源授权策略 (TSRAP)，用于访问托管 RemoteApp 程序的终端服务器。 在创建 TSRAP 时，添加在 TSCAP 中定义的用户组。此外，还创建新的由 TS网关管理的计算机组，其中包含托管 RemoteApp 程序的终端服务器的 NetBIOS 名称和完全限定的域名 (FQDN)。

      备注
      如果使用的是终端服务器场，请指定场名称，而不是单个场成员。

       

      有关详细信息，请参阅“TS网关循序渐进指南”中的“创建 TSRAP 并指定用户可以通过 TS网关服务器连接的计算机”部分。
4. 在 TSRemoteApp Manager 中配置 TS网关设置（在全局部署设置中或在创建 .rdp 文件或 Windows Installer 程序包时）。在执行此操作时，请确保指定了 TS网关服务器的 FQDN。 在配置全局部署设置时，更改将立即反映在 TSWeb Access 网站上。

   备注
   如果以前创建了 .rdp 文件和 Windows Installer 程序包，则新设置将不会反映在这些程序包中。必须创建具有正确设置的新程序包，然后将它们部署到用户。

    

5. 若要允许使用 TSWeb Access 通过 Internet 访问 RemoteApp 程序，请配置防火墙设置和身份验证设置。有关详细信息，请参阅以下部分中的配置 TS Web 访问服务器以允许从 Internet 访问。

配置 TS Web 访问服务器以允许从 Internet 访问

 

若要允许用户从 Internet 访问 TSWeb Access服务器，推荐的配置是将 TS网关服务器和 TSWeb Access服务器置于外围网络中，将承载 RemoteApp 程序的终端服务器置于内部防火墙后。

另外，还可以在内部网络上部署 TSWeb Access，然后通过 Microsoft Internet Security and Acceleration (ISA) Server 发布网站。有关通过 ISA Server2006 进行 Web 发布的详细信息，请访问“ISA Server2006 中的发布概念”网站 (http://go.microsoft.com/fwlink/?LinkId=86359)（可能为英文网页）。

如果在外围网络中部署 TSWeb Access，则必须配置防火墙，使其允许从 TSWeb Access 服务器到终端服务器进行 Windows Management Instrumentation (WMI) 通信。必须确保为与 WMI 相关的 DCOM 通信打开了 TCP 端口 135。若要控制用于 WMI 通信的其他端口，则可以配置固定端口。有关如何执行此操作的信息，请参阅 MSDN 中的“为 WMI 设置固定端口”(http://go.microsoft.com/fwlink/?LinkId=109867)（可能为英文网页）。若要在基于 Windows Server2008 的服务器上使用此过程，请注意以下附加信息：

• 如果没有使用本地 Administrator 帐户登录，则必须从权限提升的命令提示符运行命令。若要打开权限提升的命令提示符，请单击「开始」，右键单击“命令提示符”，然后单击“以管理员身份运行”。
• 该过程显示如何为 WMI 通信配置 TCP 端口 24158。默认情况下，winmgmt -standalonehost 命令将 Windows Management Instrumentation 服务 (Winmgmt) 移动到具有固定 DCOM 终结点 ncacn_ip_tcp.0.24158 的独立 Svchost 进程。 若要指定其他端口号，请勿使用 winmgmt -standalonehost 命令。而必须执行以下操作。

  指定与默认端口号不同的端口号的步骤

   

  1. 使用组件服务将 WMI 的固定 DCOM 终结点配置为所需的端口。若要执行此操作，请按下列步骤执行：

     1. 打开“组件服务”。若要打开组件服务，请单击「开始」，指向“管理工具”，然后单击“组件服务”。
     2. 在控制台树中，依次展开“组件服务”、“计算机”和“我的电脑”，然后单击“DCOM 配置”。
     3. 在中间的窗格中，右键单击 Windows Management Instrumentation，然后单击“属性”。
     4. 单击“终结点”选项卡，然后单击“属性”或“添加”，具体取决于是否已经存在自定义条目。
     5. 单击“使用静态终结点”，输入要使用的端口号，然后单击“确定”两次。

  2. 重新启动 Winmgmt 服务使更改生效。若要重新启动该服务，请从命令行运行命令 net stop winmgmt 和 net start winmgmt。

  3. 在将 port 参数设置为在组件服务中指定的同一端口的情况下运行 netsh 命令。（请参阅下面带有项目符号的项，了解有关 netsh 命令语法的详细信息。）

   

• 当运行 netsh 命令创建防火墙规则时，必须包含 protocol 参数，并将协议类型指定为 TCP。下面是此命令语法的一个示例： netsh firewall add portopening protocol=TCP port=24158 profile=domain name=WMIFixedPort

  备注
  profile 参数指示将防火墙规则应用于域，还是专用或公用配置文件。有关详细信息，请参阅“高级安全 Windows 防火墙帮助”中的“了解高级安全 Windows 防火墙配置文件”。

   

此外，还必须将 TSWeb Access 网站配置为使用 Windows 身份验证。默认情况下，对 TSWeb Access 网站启用 Windows 身份验证。

验证是否已启用 Windows 身份验证的步骤：

 

1. 在 TSWeb Access 服务器上，单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在“Internet 信息服务(IIS)管理器”的左侧窗格中，依次展开服务器名称、“站点”、“默认网站”，然后单击 TS。

3. 在中间窗格中，在 IIS 下双击“身份验证”。

4. 确保 Windows 身份验证设置为“已启用”。如果不是，右键单击“Windows 身份验证”，然后单击“启用”。

 

备注
如果将 TSWeb Access 置于自定义网站中，则必须确保用于网站的身份验证方法可以映射到用户的 Windows 帐户。通过在自定义网站上使用集成的 Windows 身份验证可以做到这一点。

 

 

 

其他信息

 

配置服务器管理器和初始任务使其不在管理员的 RemoteApp 会话中运行

 

如果用户对安装了 RemoteApp 程序的终端服务器具有管理访问权限，则当用户启动 RemoteApp 程序时，服务器管理器工具和初始配置任务也会在 RemoteApp 会话中启动。

可以通过在终端服务器上本地组策略编辑器的“计算机配置\管理模板\系统\服务器管理器”节点中使用以下组策略设置来控制此行为：

• 在登录时不自动显示“初始配置任务”窗口 必须启用此策略设置以防止当具有管理访问权限的用户启动 RemoteApp 会话时打开“初始配置任务”窗口。
• 在登录时不自动显示服务器管理器 必须启用此策略设置以防止当具有管理访问权限的用户启动 RemoteApp 会话时打开服务器管理器。

 

配置远程桌面 Web 连接的行为

 

终端服务远程桌面 Web 连接使用户可以通过 TSWeb Access 网站连接到远程计算机的桌面。若要连接到远程计算机，必须符合下列条件：

• 必须将远程计算机配置为接受远程桌面连接。
• 用户必须是远程计算机上的 Remote Desktop Users 组的成员。

用户可以通过单击 TSWeb Access 页上的“远程桌面”选项卡访问远程桌面 Web 连接。作为管理员，您可以配置用户是否可以使用“远程桌面”选项卡。此外，还可以配置其他一些设置，例如要使用哪个 TS网关服务器以及默认的设备和资源重定向选项。

本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。

配置远程桌面 Web 连接的行为的步骤：

 

1. 在 TSWeb Access 服务器上，启动 Internet 信息服务 (IIS) 管理器。为此，请单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2. 在左侧窗格中，依次展开服务器名称、“站点”、“默认网站”，然后单击 TS。

3. 在中间窗格中，在 ASP.NET 下双击“应用程序设置”。

4. 若要更改远程桌面 Web 连接的设置，请在“应用程序设置”窗格中修改值。

   • 若要配置默认 TS网关 服务器，请双击 DefaultTSGateway，在“值”框中输入服务器的完全限定的域名（例如 server1.contoso.com），然后单击“确定”。
   • 若要指定 TS网关 身份验证方法，请双击 GatewayCredentialsSource，在“值”框中键入与所需的身份验证方法对应的编号，然后单击“确定”。可能的值包括： 0 = 询问密码 (NTLM) 1 = 智能卡 4 = 允许用户以后选择
   • 若要配置“远程桌面”选项卡是否出现在 TSWeb Access 页上，请双击 ShowDesktops。在“值”框中，键入 true 显示“远程桌面”选项卡，或键入 false 隐藏“远程桌面”选项卡。完成操作后，单击“确定”。
   • 若要配置默认的设备和资源重定向设置，请双击要修改的设置（xClipboard、xDriveRedirection、xPnPRedirection、xPortRedirection 或 xPrinterRedirection）。在“值”框中，键入 true 在默认情况下启用重定向设置，或键入 false 在默认情况下禁用重定向设置，然后单击“确定”。

5. 完成后，关闭 IIS 管理器。

   更改应在 TSWeb Access 网站上立即生效。如果该网页已打开，刷新页面以查看更改。

 

备注
还可以使用记事本等文本编辑器直接修改 %windir%\Web\ts\Web.config 文件，以配置这些设置。

 

 

更改默认 TSWeb 访问网站的安装位置

 

默认情况下，在安装 TSWeb Access 时，TSWeb Access 网站将安装到 IIS 中的“默认网站”（到 /TS 虚拟路径）。若要指定其他网站来安装 TSWeb Access，则可以在注册表中配置其他目标网站。必须在安装 TSWeb Access 角色服务之前执行此操作。

注意
如果使用注册表编辑器或使用其他方法错误地修改了注册表，则可能会导致严重问题。这些问题可能要求您重新安装操作系统。Microsoft 不能保证可以解决这些问题。您需要自己承担修改注册表的风险。

 

更改 TSWeb 访问网站的安装位置的步骤

 

1. 如果尚未安装 IIS，请安装 IIS。若要执行此操作，请按下列步骤执行：

   1. 启动服务器管理器。 要打开“服务器管理器”，请单击“开始”，指向“管理工具”，然后单击“服务器管理器”。
   2. 在“角色摘要”下，单击“添加角色”。
   3. 在“开始之前”页上，单击“下一步”。
   4. 在“选择服务器角色”页上，选中“Web 服务器(IIS)”复选框，单击“添加必需的功能”，然后单击“下一步”。
   5. 在“Web 服务器(IIS)”页上，单击“下一步”。
   6. 在“选择角色服务”页上，单击“下一步”。
   7. 在“确认安装选择”页上，单击“安装”。
   8. 在“安装结果”页上，确认安装已成功，然后单击“关闭”。

2. 单击「开始」，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

3. 在 Internet Information Services (IIS) 管理器中，展开服务器名称，右键单击“站点”，然后单击“添加网站”。

4. 在“添加网站”对话框中，为新网站添加信息，如网站名称。确保执行了以下操作：

   • 在“物理路径”框中，指定路径 C:\Windows\Web，其中 "C:" 表示安装 Windows 的驱动器。
   • 为了不与默认网站冲突，应在“IP 地址”列表中指定不同的 IP 地址，或者在“端口”框中指定端口 80 以外的端口。（如果指定其他端口，请确保根据您的配置将防火墙配置为允许在该端口上进行 HTTP 或 HTTPS 通信。）

5. 完成操作后，单击“确定”。

6. 启动注册表编辑器。若要执行此操作，请单击「开始」，在“开始搜索”框中键入 regedit，然后按 Enter。

7. 找到以下注册表子项：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

8. 若要为 TSWeb Access 网站指定新安装位置，请执行下列操作：

   1. 右键单击 Microsoft，指向“新建”，然后单击“项”。
   2. 键入“Terminal Server Web 访问”作为子项名，然后按 Enter。
   3. 右键单击“Terminal Server Web 访问”，指向“新建”，然后单击“字符串值”。
   4. 键入 Website 作为项名称，然后按 Enter。
   5. 右键单击 Website，然后单击“修改”。
   6. 在“数值数据”框中，键入要在其中安装 TSWeb Access 网站的网站名称（在本过程的步骤 4 中指定的网站名称），然后单击“确定”。

9. 关闭注册表编辑器。

10. 安装 TSWeb Access。有关详细信息，请参阅本指南前面的安装 TS Web 访问角色服务。

原文地址

查看更多相关文章