本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
应用服务器用于安装应用程序,并能通过RemoteApp服务发布应用程序。通过堡垒机运维应用之前,您首先需要准备应用服务器。本文以Windows Server 2019为例,为您介绍如何将Windows Server部署为应用服务器。
Windows Server部署说明
Windows Server 2000/2003不支持RemoteApp服务。建议选择Windows Server 2016、Windows Server 2019或Windows Server 2022版本。
Windows Server服务器可以是物理设备,也可以是虚拟机。
应用运维需要依赖Windows Server远程桌面服务,服务默认试用期为120天,试用期结束后,您需要先激活远程桌面授权,才能继续使用。
警告远程桌面服务默认有免费使用期,过期后应用运维功能将不可用。如果您需要长期使用此服务,需要前往微软官方购买客户端访问许可证(CAL),在应用发布服务器中激活远程桌面授权。
客户端访问许可证(CAL)使用场景,可以参考以下:。
每设备CAL:根据应用运维最大并发量购买RDS规格,1个运维连接占用1规格。适用于并发进行应用运维的人员数小于运维人员总数的场景(默认推荐该类型许可,通常情况下并发运维数小于运维人员总数)。
每用户CAL:根据需要使用应用运维的运维员用户数购买RDS规格,一个用户占用1规格。适用于需要并发进行应用运维的人员数与运维人员总数一致的场景
应用服务器配置推荐
配置项 | 1~10个并发连接 | 11~20个并发连接 | 21~50个并发连接 | 51~100个并发连接 | 100+个并发连接 |
CPU | 4核 | 4核 | 8核 | 8核 | 16核 |
内存 | 8G | 16G | 16G | 32G | 64G |
系统盘 | 200G | 200G | 300G | 300G | 500G |
RemoteApp介绍
RemoteApp是微软在Windows Server 2008之后,在其系统中集成的一项服务功能,使用户可以通过远程桌面访问远端的桌面与程序。在客户端本机无须安装系统与应用程序的情况下,也能正常使用远端发布的各种的桌面与应用。在通过堡垒机进行运维应用时,由于需要登录到应用服务器并启动服务器上的客户端,因此需要依赖RemoteApp。
步骤一:创建AD域
登录Windows Server 2019服务器。
如果使用云服务器ECS,您可以通过多种方式连接云服务器ECS。关于连接方式的更多信息,请参见连接实例。
单击开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能。
按照页面向导进行操作,以下无特殊说明的请保持默认配置。
安装类型:选择基于角色或基于功能的安装。
服务器角色:选中Active Directory域服务。
功能:选中.NET Framework 3.5功能和.NET Framework 4.7功能。
功能安装成功后重启服务器。
步骤二:将服务器提升为域控制器
在仪表版页面,单击将此服务器提升为域控制器。
按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。
部署配置:根域名可任意填写,例如example.com。
域名控制台选项:输入目录服务还原模式(DSRM)密码。密码复杂度要求:大小写字母、数字和符号组合。
DNS选项:忽略提示单击下一页。
安装成功后重启服务器。重启后查看当前服务器是否在域中。
步骤三:安装远程桌面服务
使用域账号或Administrator登录服务器。
域为example.com,则域账号为example,登录密码和Administrator账户一致。
单击开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能。
按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。
服务器角色:选中桌面服务。
角色服务:选中远程桌面会话主机(Remote Desktop Session Host)和远程桌面授权。
确认:选中如果需要,自动重新启动目标服务器。
步骤四:安装RemoteAPP服务
使用域账号或Administrator登录服务器。
域为example.com,则域账号为example,登录密码和Administrator账户一致。
单击开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能。
按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。
安装类型:选择远程桌面服务安装。
部署类型:选择快速启动。
部署方案:选择基于会话的桌面部署。
服务器选择:选择目标服务器,单击下一页。
如果出现兼容性报错,在Windows PowerShell(管理员)中执行Enable-PSRemoting命令,执行完成后再次回到选择服务器页面单击下一页。
确认:勾选需要时自动重新启动目标服务器(R)。
部署成功如下图所示:
步骤五:调整应用服务器策略
调整本地组策略
打开运行对话框,输入gpedit.msc。
在
页面,配置远程桌面会话主机连接和会话时间。连接设置
允许用户通过远程桌面服务进行远程连接:设置为已启用。
限制连接数量:设置已启用,输入允许的RD最大连接数999999。
将远程桌面服务用户限制到单独的远程桌面服务会话:设置为已禁用。
允许远程启动未列出的程序:设置已启用。
会话时间设置
设置已中断会话的时间限制:设置已启用,结束已断开连接的会话为1分钟。
屏蔽IE地址栏
打开运行对话框,输入gpedit.msc。
在
页面,将强制使用全屏模式设置为已启用。设置完成之后,可以打开IE浏览器检查一下效果,IE浏览器如果没有显示地址表示限制成功。
关闭Windows防火墙
在
页面,关闭防火墙。关闭IE增强的安全配置
单击开始图标,选择服务器管理器。
在左侧导航栏,单击本地服务器,关闭IE增强的安全配置。
设置RD授权模式
单击开始图标,选择服务器管理器,在远程桌面服务页面,双击RD授权。
选择目标服务器,单击下一页,根据向导完成剩余操作。
返回远程桌面服务页面,选择
。将RD授权模式选择为每设备,并选择远程桌面授权服务器,单击应用。
开启远程桌面
在
页面,单击允许远程访问。在远程页签,选择允许连接到此计算机,取消仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议),单击确定。