将Windows Server部署为应用服务器_运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

应用服务器用于安装应用程序，并能通过RemoteApp服务发布应用程序。通过堡垒机运维应用之前，您首先需要准备应用服务器。本文以Windows Server 2019为例，为您介绍如何将Windows Server部署为应用服务器。

Windows Server部署说明

Windows Server 2000/2003不支持RemoteApp服务。建议选择Windows Server 2016、Windows Server 2019或Windows Server 2022版本。
Windows Server服务器可以是物理设备，也可以是虚拟机。

RemoteApp介绍

RemoteApp是微软在Windows Server 2008之后，在其系统中集成的一项服务功能，使用户可以通过远程桌面访问远端的桌面与程序。在客户端本机无须安装系统与应用程序的情况下，也能正常使用远端发布的各种的桌面与应用。在通过堡垒机进行运维应用时，由于需要登录到应用服务器并启动服务器上的客户端，因此需要依赖RemoteApp。

步骤一：创建AD域

登录Windows Server 2019服务器。
如果使用云服务器ECS，您可以通过多种方式连接云服务器ECS。关于连接方式的更多信息，请参见连接实例。
单击开始图标，选择服务器管理器，在仪表板页面，单击添加角色和功能。
按照页面向导进行操作，以下无特殊说明的请保持默认配置。
- 安装类型：选择基于角色或基于功能的安装。
- 服务器角色：选中Active Directory域服务。
- 功能：选中.NET Framework 3.5功能和.NET Framework 4.7功能。
功能安装成功后重启服务器。

步骤二：将服务器提升为域控制器

在仪表版页面，单击将此服务器提升为域控制器。
按照页面向导进行操作，以下如无特殊说明，保持默认配置即可。
- 部署配置：根域名可任意填写，例如example.com。
- 域名控制台选项：输入目录服务还原模式（DSRM）密码。密码复杂度要求：大小写字母、数字和符号组合。
- DNS选项：忽略提示单击下一页。
安装成功后重启服务器。重启后查看当前服务器是否在域中。

步骤三：安装远程桌面服务

使用域账号或Administrator登录服务器。
域为example.com，则域账号为example，登录密码和Administrator账户一致。
单击开始图标，选择服务器管理器，在仪表板页面，单击添加角色和功能。
按照页面向导进行操作，以下如无特殊说明，保持默认配置即可。
- 服务器角色：选中桌面服务。
- 角色服务：选中远程桌面会话主机（Remote Desktop Session Host）和远程桌面授权。
- 确认：选中如果需要，自动重新启动目标服务器。

步骤四：安装RemoteAPP服务

使用域账号或Administrator登录服务器。
域为example.com，则域账号为example，登录密码和Administrator账户一致。
单击开始图标，选择服务器管理器，在仪表板页面，单击添加角色和功能。
按照页面向导进行操作，以下如无特殊说明，保持默认配置即可。
- 安装类型：选择远程桌面服务安装。
- 部署类型：选择快速启动。
- 部署方案：选择基于会话的桌面部署。
- 服务器选择：选择目标服务器，单击下一页。
  如果出现兼容性报错，在Windows PowerShell（管理员）中执行Enable-PSRemoting命令，执行完成后再次回到选择服务器页面单击下一页。
- 确认：勾选需要时自动重新启动目标服务器（R）。
- 部署成功如下图所示：

步骤五：调整应用服务器策略

调整本地组策略

打开运行对话框，输入gpedit.msc。
在计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机页面，配置远程桌面会话主机连接和会话时间。
1. 连接设置
  - 允许用户通过远程桌面服务进行远程连接：设置为已启用。
  - 限制连接数量：设置已启用，输入允许的RD最大连接数999999。
  - 将远程桌面服务用户限制到单独的远程桌面服务会话：设置为已禁用。
  - 允许远程启动未列出的程序：设置已启用。
2. 会话时间设置
  设置已中断会话的时间限制：设置已启用，结束已断开连接的会话为1分钟。

屏蔽IE地址栏

打开运行对话框，输入gpedit.msc。
在计算机配置 > 管理模板 > Windows组件 > Internet Explorer页面，将强制使用全屏模式设置为已启用。
设置完成之后，可以打开IE浏览器检查一下效果，IE浏览器如果没有显示地址表示限制成功。