将Windows Server部署为应用服务器

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

应用服务器用于安装应用程序,并能通过RemoteApp服务发布应用程序。通过堡垒机运维应用之前,您首先需要准备应用服务器。本文以Windows Server 2019为例,为您介绍如何将Windows Server部署为应用服务器。

Windows Server部署说明

  • Windows Server 2000/2003不支持RemoteApp服务。建议选择Windows Server 2016、Windows Server 2019或Windows Server 2022版本。

  • Windows Server服务器可以是物理设备,也可以是虚拟机。

  • 应用运维需要依赖Windows Server远程桌面服务,服务默认试用期为120天,试用期结束后,您需要先激活远程桌面授权,才能继续使用。

    警告

    远程桌面服务默认有免费使用期,过期后应用运维功能将不可用。如果您需要长期使用此服务,需要前往微软官方购买客户端访问许可证(CAL),在应用发布服务器中激活远程桌面授权。

    客户端访问许可证(CAL)使用场景,可以参考以下:。

    • 每设备CAL:根据应用运维最大并发量购买RDS规格,1个运维连接占用1规格。适用于并发进行应用运维的人员数小于运维人员总数的场景(默认推荐该类型许可,通常情况下并发运维数小于运维人员总数)。

    • 每用户CAL:根据需要使用应用运维的运维员用户数购买RDS规格,一个用户占用1规格。适用于需要并发进行应用运维的人员数与运维人员总数一致的场景

应用服务器配置推荐

配置项

1~10个并发连接

11~20个并发连接

21~50个并发连接

51~100个并发连接

100+个并发连接

CPU

4核

4核

8核

8核

16核

内存

8G

16G

16G

32G

64G

系统盘

200G

200G

300G

300G

500G

RemoteApp介绍

RemoteApp是微软在Windows Server 2008之后,在其系统中集成的一项服务功能,使用户可以通过远程桌面访问远端的桌面与程序。在客户端本机无须安装系统与应用程序的情况下,也能正常使用远端发布的各种的桌面与应用。在通过堡垒机进行运维应用时,由于需要登录到应用服务器并启动服务器上的客户端,因此需要依赖RemoteApp。

步骤一:创建AD域

  1. 登录Windows Server 2019服务器。

    如果使用云服务器ECS,您可以通过多种方式连接云服务器ECS。关于连接方式的更多信息,请参见连接实例

  2. 单击image..png开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能

    image

  3. 按照页面向导进行操作,以下无特殊说明的请保持默认配置。

    • 安装类型:选择基于角色或基于功能的安装

      image

    • 服务器角色:选中Active Directory域服务

      image

    • 功能:选中.NET Framework 3.5功能.NET Framework 4.7功能。

      image

  4. 功能安装成功后重启服务器。

    image

步骤二:将服务器提升为域控制器

  1. 仪表版页面,单击将此服务器提升为域控制器

    image

  2. 按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。

    • 部署配置:根域名可任意填写,例如example.com。

      image

    • 域名控制台选项:输入目录服务还原模式(DSRM)密码。密码复杂度要求:大小写字母、数字和符号组合。

      image

    • DNS选项:忽略提示单击下一页

      image

  3. 安装成功后重启服务器。重启后查看当前服务器是否在域中。

    image

步骤三:安装远程桌面服务

  1. 使用域账号或Administrator登录服务器。

    域为example.com,则域账号为example,登录密码和Administrator账户一致。

  2. 单击image..png开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能

    image

  3. 按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。

    • 服务器角色:选中桌面服务

      image

    • 角色服务:选中远程桌面会话主机(Remote Desktop Session Host)远程桌面授权

    • 确认:选中如果需要,自动重新启动目标服务器

      image

步骤四:安装RemoteAPP服务

  1. 使用域账号或Administrator登录服务器。

    域为example.com,则域账号为example,登录密码和Administrator账户一致。

  2. 单击image..png开始图标,选择服务器管理器,在仪表板页面,单击添加角色和功能

    image

  3. 按照页面向导进行操作,以下如无特殊说明,保持默认配置即可。

    • 安装类型:选择远程桌面服务安装

      image

    • 部署类型:选择快速启动

      image

    • 部署方案:选择基于会话的桌面部署

      image

    • 服务器选择:选择目标服务器,单击下一页

      image

      如果出现兼容性报错,在Windows PowerShell(管理员)中执行Enable-PSRemoting命令,执行完成后再次回到选择服务器页面单击下一页

      image

    • 确认:勾选需要时自动重新启动目标服务器(R)image

    • 部署成功如下图所示:

      image

步骤五:调整应用服务器策略

调整本地组策略

  1. 打开运行对话框,输入gpedit.msc。

    image

  2. 计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机页面,配置远程桌面会话主机连接和会话时间。

    1. 连接设置

      image

      • 允许用户通过远程桌面服务进行远程连接:设置为已启用。

      • 限制连接数量:设置已启用,输入允许的RD最大连接数999999

      • 将远程桌面服务用户限制到单独的远程桌面服务会话:设置为已禁用

      • 允许远程启动未列出的程序:设置已启用

    2. 会话时间设置

      设置已中断会话的时间限制:设置已启用,结束已断开连接的会话为1分钟

      image

屏蔽IE地址栏

  1. 打开运行对话框,输入gpedit.msc。

    image

  2. 计算机配置 > 管理模板 > Windows组件 > Internet Explorer页面,将强制使用全屏模式设置为已启用

    设置完成之后,可以打开IE浏览器检查一下效果,IE浏览器如果没有显示地址表示限制成功。

关闭Windows防火墙

控制面板 > 系统和安全 > Windows Defender 防火墙 > 自定义设置页面,关闭防火墙。

image

关闭IE增强的安全配置

  1. 单击image..png开始图标,选择服务器管理器

  2. 在左侧导航栏,单击本地服务器,关闭IE增强的安全配置

    image

设置RD授权模式

  1. 单击image..png开始图标,选择服务器管理器,在远程桌面服务页面,双击RD授权

    image

  2. 选择目标服务器,单击下一页,根据向导完成剩余操作。

    image

  3. 返回远程桌面服务页面,选择任务 > 编辑部署属性

    image

  4. 将RD授权模式选择为每设备,并选择远程桌面授权服务器,单击应用

    image

开启远程桌面

  1. 控制面板 > 系统和安全 > 系统页面,单击允许远程访问

  2. 远程页签,选择允许连接到此计算机,取消仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议),单击确定