4、服务器网关配置
配置网关是为了使局域网内的机器都能访问到RemoteApp服务器。在”服务器管理器”,打开”远程桌面服务”,在”概述”页点击”RD网关”,选择当前服务器,添加到”已选择”项中,确认选择,在SSL证书中输入服务器域名,一般为:机器名.域名。
在”服务器管理器”中选择”工具”->”Remote Desktop Service”->”远程桌面网关管理器”。在打开的窗口中选择当前服务器,右击,选择”属性”。
在打开的”属性”窗口中找到”服务器场”选项卡,在”RD网关服务器场成员”中填写服务器域名(同样为机器名.域名),点击”添加”。
在”远程桌面网关服务器场状态”中应该可以看到刚刚添加的服务器场成员,点击应用,待”状态”项变为绿色确定样式时说明网关添加成功。
5、证书配置
证书配置是为了解决访问RemoteApp服务器时提示证书错误的问题。在WM10手机上配置时,如果找不到服务器的相应证书,将无法配置RemoteApp服务器。由于远程桌面服务属于自授权性质,我们采用自行搭建证书服务器并授权证书的方式解决这一问题。
在”服务器管理器”中选择”添加角色或功能”,在”服务器角色”中选择”Active Directory 证书服务”,在”AD CS角色服务”中选择”证书颁发机构”,使得本机可以颁发证书,点击安装。
安装完毕后,”服务器管理器”的通知项中会出现黄色叹号,点击可以看到”部署后配置”内容。点击”配置目标服务器上的Active Directory证书服务”。开始配置证书服务器。
打开的”AD CS配置”向导,在”角色服务”中选择证书颁发机构,在”私钥”中选择”创建新的私钥”,加密方式和CA名称保持默认,有效期可以选择较长时间,安装证书服务器。提示”证书颁发机构”配置成功表示安装已完成。
接下来创建服务器证书。在搜索框中输入mmc.exe,打开控制台,在”控制台根节点”右键,选择”添加/删除管理单元”。在弹出的窗口中找到”证书”选项,点击添加。
在向导中选择”计算机账户”,点击下一步,选择”本地计算机”,点击完成。此时控制台中已经可以看到证书的控制项。
在”证书”项中选择”个人”->”证书”,右键点击”所有任务”->”申请新证书”。开始申请该服务器的证书。
点击”下一步”直到”证书注册”步骤。由于当前服务器为域控制器,因此在”请求证书”中选择”域控制器”类型,点击”详细信息”,打开”属性”页面。
在”属性”页面的”常规”选项卡中,给当前证书命名一个名称,便于今后使用时识别,填写在”友好名称”框中。在”私钥”选项卡的”密钥选项”中,选择”使私钥可以导出”,以便于之后导出私钥。点击确定完成证书创建。
回到”控制台”窗口,在刚刚创建的证书上右键,选择”所有任务”->”导出”。
在”证书导出向导”中,选择”是,导出私钥”,点击”下一步”,在”个人信息交换”项中选择”导出所有扩展属性”,在”安全”项中创建该证书的密码,选择导出位置,完成导出工作。
双击选择刚创建的证书,在”详细信息”选项卡中找到”指纹”项,复制该证书的指纹。
回到”服务器管理器”,选择”工具”->”组策略管理”。在”林”->”域”->”域名”->”Default Domain”项右键,选择”编辑”。找到”策略”->”管理模板”->”Windows组件”->”远程桌面服务”->”远程桌面连接客户端”,在该项下找到”指定表示受信任.rdp发行者的SHA1证书指纹”,双击,在打开的窗口中选择”已启用”,并将先前复制好的指纹粘贴在指纹列表中。
在”远程桌面服务”项中还可以对RemoteApp的显示效果进行进一步调整,在此不再详述,有兴趣的可以自行摸索。
回到”服务器管理器”的”远程桌面服务”项,在”概述”页中点击”任务”->”编辑部署属性”,在打开的窗口中选择证书项。可以看到,当前证书全部为未配置。
选择某一”角色服务”,点击现有证书,在弹出的窗口中选择刚刚创建并保存好的证书,输入设置的证书密码,勾选”允许向目标计算机上受信任的根证书颁发机构证书存储中添加证书”项,点击”确定”。点击”应用”后可以发现被选择的”角色服务”证书已经配置完成。依次类推将所有的证书均配置一遍,服务器端的证书配置工作即全部完成。
