&

家庭網(wǎng)絡(luò)中部署 Windows 遠程桌面服務(wù)（RDS）實現(xiàn)多用戶同時遠程桌面指南

admin

2024年12月4日 22:49 本文熱度 1620

在家庭或小型企業(yè)的網(wǎng)絡(luò)中，特別是在帶有域控制器的環(huán)境下，實現(xiàn)多用戶同時遠程桌面訪問同一臺終端應(yīng)用服務(wù)器（RDS服務(wù)器）可以極大提高資源利用率。例如，多個工作成員或多個虛擬用戶可以同時從外網(wǎng)登錄到一臺Windows服務(wù)器進行獨立的桌面操作。

為實現(xiàn)這一功能，需要配置 遠程桌面會話主機（Remote Desktop Session Host，RDSH）和 遠程桌面許可（Remote Desktop Licensing）角色。本文將詳細講述如何在家庭網(wǎng)絡(luò)中的域環(huán)境內(nèi)配置遠程桌面服務(wù)許可，以允許多用戶同時遠程訪問同一臺服務(wù)器。

本文涉及的場景：利用 Windows Server 的遠程桌面服務(wù)（RDS）實現(xiàn)多用戶同時遠程訪問的終端應(yīng)用服務(wù)器（TS01），可以為多個用戶提供獨立的桌面環(huán)境。本文將逐步講解如何配置 RDS 服務(wù)，從域控制器的部署、許可服務(wù)器的設(shè)置到多用戶會話主機的配置。該場景非常適合允許朋友或同事遠程登錄服務(wù)器訪問應(yīng)用，如 ChatGPT 等服務(wù)。

我們都知道，消費級桌面通常遠程桌面不允許多用戶同時登錄，多用戶同時登錄桌面會話需要在服務(wù)器環(huán)境。微軟在域環(huán)境中的遠程桌面許可（Remote Desktop Licensing）遵循嚴格的政策，以確保多用戶或多設(shè)備環(huán)境下的合規(guī)性。下面是微軟RDS許可政策解讀，但我們也是可以跳過它。

微軟遠程桌面服務(wù)許可政策概述

1. 遠程桌面客戶端訪問許可（CALs），遠程桌面服務(wù)（RDS）在域環(huán)境中需要客戶端訪問許可（Client Access Licenses, CALs），有兩種主要類型：

用戶 CAL：與用戶關(guān)聯(lián)，每個用戶都可以使用任意設(shè)備來訪問 RDS 服務(wù)器。適用于單一用戶需要從多個設(shè)備訪問服務(wù)器的情況。
設(shè)備 CAL：與設(shè)備關(guān)聯(lián)，每臺設(shè)備可以由多個用戶使用來訪問 RDS 服務(wù)器。適用于多用戶通過少數(shù)設(shè)備連接的情況。

2. 許可模式，在域環(huán)境中，微軟允許兩種許可模式來選擇：

按用戶：為每個用戶分配一個用戶 CAL，用戶可以從任何設(shè)備進行遠程連接。這種方式適用于每個用戶需要從多個設(shè)備遠程訪問服務(wù)器的場景。
按設(shè)備：為每臺設(shè)備分配一個設(shè)備 CAL，不管有多少用戶使用該設(shè)備遠程連接到服務(wù)器。這種方式適用于共享設(shè)備或有限的訪問場景。

這些許可需要通過 遠程桌面許可服務(wù)器（Remote Desktop Licensing Server）管理。RDS 會定期檢查每個連接用戶或設(shè)備的 CAL 狀態(tài)，并確保許可證的合法分配。

3. 遠程桌面服務(wù)角色

在域環(huán)境中，遠程桌面服務(wù)的部署通常涉及以下角色：

遠程桌面會話主機（RDSH）：允許多個用戶并發(fā)地連接到同一臺服務(wù)器。
遠程桌面許可（RD Licensing）：管理并發(fā)布 CAL，確保合規(guī)。
遠程桌面連接代理（RD Connection Broker）：管理用戶的會話，并將他們分配到最合適的 RDSH 服務(wù)器上（特別是當(dāng)有多個 RDSH 服務(wù)器時）。
遠程桌面網(wǎng)關(guān)（RD Gateway）：通過安全的 HTTPS 連接，允許用戶從外部網(wǎng)絡(luò)訪問內(nèi)部的 RDSH 服務(wù)器。

4. 許可服務(wù)器的部署和激活

激活：遠程桌面許可服務(wù)器必須通過微軟激活，才能開始頒發(fā) CALs。
管理 CALs：激活后的許可服務(wù)器會根據(jù)組織的需要來頒發(fā)用戶或設(shè)備 CALs。許可證必須合法購買并正確安裝在許可服務(wù)器上。

5. 許可的管理與監(jiān)控

微軟要求定期監(jiān)控和管理 RDS 許可的使用情況，以確保組織內(nèi)所有遠程桌面連接都是符合許可的。例如，CAL 是按用戶或按設(shè)備分配的，管理員應(yīng)確保許可證分配與使用保持一致。

管理員可以使用以下工具來監(jiān)控和管理 RDS 許可：

遠程桌面許可管理器：查看和管理已分配的 CALs。
組策略：通過組策略設(shè)置，管理員可以指定是否按用戶或按設(shè)備許可模式來管理整個域內(nèi)的 RDS。

6. 許可期限

在某些情況下，如果沒有足夠的 CALs，用戶或設(shè)備仍然可以在有限的時間內(nèi)（即 寬限期）連接到遠程桌面服務(wù)主機。但寬限期結(jié)束后，必須安裝合法的 CALs，否則用戶將無法繼續(xù)連接。

本文落筆前遇到的問題：寬限期政策（Grace Period)，也就是120天寬限期已過，就會報錯，無法再次連接。

當(dāng)首次設(shè)置 RDS 會話主機時，系統(tǒng)會有一個臨時的寬限期，允許在沒有許可服務(wù)器的情況下進行連接（通常為 120 天）。在此寬限期結(jié)束后，必須安裝并激活遠程桌面許可服務(wù)器，并確保 CALs 正確安裝，才能繼續(xù)為用戶提供遠程桌面服務(wù)。下面是為了徹底解決許可受限的問題，重新部署許可和遠程會話主機的過程。

環(huán)境準備

在開始配置之前，確保以下環(huán)境已經(jīng)就緒：

域控制器（DC）：域控已正常運行并加入域，域名為 hansonhome.local。
Unifi 網(wǎng)關(guān)：已經(jīng)配置防火墻規(guī)則，允許域控制器跨 VLAN 訪問其他設(shè)備。
終端應(yīng)用服務(wù)器（TS01）：已安裝 Windows Server，激活完畢，且已加入 hansonhome.local 域。DNS解析工作正常，外網(wǎng)端口轉(zhuǎn)發(fā)已經(jīng)設(shè)置好。

配置步驟

1. 在域控制器（DC）上部署遠程桌面許可服務(wù)

由于家庭網(wǎng)絡(luò)資源有限，將 RDS 許可服務(wù)安裝到域控制器上是節(jié)省資源的合理做法。

打開服務(wù)器管理器：

在域控制器（DC）上，點擊開始，選擇 服務(wù)器管理器。

添加角色和功能：

在服務(wù)器管理器中，點擊左上角的管理菜單，然后選擇 添加角色和功能。
在 添加角色和功能向?qū)?/strong> 中，選擇 基于角色或基于功能的安裝，點擊 下一步。
在服務(wù)器角色列表中，勾選 遠程桌面服務(wù)。
點擊 下一步，確保勾選 遠程桌面授權(quán)（Remote Desktop Licensing），這是用于分發(fā)遠程桌面許可證的必要服務(wù)。

安裝遠程桌面授權(quán)服務(wù)：

點擊安裝，等待安裝完成。安裝過程結(jié)束后，域控制器將具備遠程桌面許可服務(wù)的功能。

2. 激活遠程桌面許可服務(wù)器并分配用戶許可

完成許可服務(wù)的安裝后，需要激活許可服務(wù)器，并通過合法途徑獲取和分配遠程桌面用戶許可。

打開遠程桌面許可管理器：

在 DC 上，打開 開始菜單，搜索并運行 遠程桌面授權(quán)管理器。

激活 RDS 許可服務(wù)器：

在遠程桌面授權(quán)管理器中，右鍵點擊服務(wù)器名稱，選擇 激活服務(wù)器。
選擇 通過互聯(lián)網(wǎng)連接 的方式激活（也可以選擇電話激活，取決于網(wǎng)絡(luò)環(huán)境）。
按照激活向?qū)У闹甘就瓿煞?wù)器激活。

分配用戶許可：

右鍵點擊激活后的服務(wù)器，選擇 安裝許可證。
在彈出的窗口中選擇許可計劃類型，選擇 服務(wù)提供商許可協(xié)議 (Services Provider License Agreement, SPLA)。
輸入你的協(xié)議號（例如：1234567），選擇產(chǎn)品版本為 Windows Server 2022，并輸入要分配的用戶許可數(shù)量（如 1000 個用戶）。
點擊完成安裝并分配許可證，確保服務(wù)器能夠正常分發(fā)許可。

3. 配置組策略指定許可服務(wù)器和模式

接下來，通過組策略為網(wǎng)絡(luò)中的終端服務(wù)器指定許可服務(wù)器，并設(shè)置許可模式為 Per User（按用戶）。

打開組策略管理工具：

在 DC 上，打開 組策略管理工具，可以通過 開始 > 管理工具 > 組策略管理 來訪問。

創(chuàng)建或編輯組策略對象：

在組策略管理工具中，找到 Default Domain Policy 或創(chuàng)建一個新的策略對象（GPO）。
右鍵點擊 Default Domain Policy，選擇編輯。

設(shè)置遠程桌面授權(quán)服務(wù)器：

在組策略編輯器中，導(dǎo)航到 計算機配置 > 策略 > 管理模板 > Windows 組件 > 遠程桌面服務(wù) > 遠程桌面會話主機 > 授權(quán)。
雙擊 使用指定的遠程桌面授權(quán)服務(wù)器 策略，選擇啟用，并輸入你域控制器的 FQDN 地址（如：dc.hansonhome.local）。

設(shè)置遠程桌面授權(quán)模式：

返回上一級，在 授權(quán) 下找到 設(shè)置遠程桌面授權(quán)模式 策略，雙擊并啟用它。
在模式下選擇 按用戶，點擊確定保存更改。

刷新組策略：

完成設(shè)置后，在終端服務(wù)器和域控制器上運行命令 gpupdate /force 刷新組策略。

4. 在終端應(yīng)用服務(wù)器 TS01 上配置遠程桌面會話主機

接下來在終端應(yīng)用服務(wù)器 TS01 上安裝遠程桌面會話主機角色，允許多用戶登錄到該服務(wù)器。

打開服務(wù)器管理器：

在 TS01 上，點擊開始，打開 服務(wù)器管理器。

添加遠程桌面會話主機角色：

點擊 管理 > 添加角色和功能，在 基于角色的安裝 中繼續(xù)操作。
在角色選項中勾選 遠程桌面會話主機（Remote Desktop Session Host, RDSH）。
點擊 下一步，然后安裝完成角色安裝。

啟用遠程桌面功能：

在 TS01 上，右鍵點擊 此電腦，選擇屬性。
點擊 遠程設(shè)置，在 遠程桌面 選項卡中啟用遠程桌面，允許用戶遠程訪問此服務(wù)器。

配置外網(wǎng)訪問：

在路由器或防火墻中，將遠程桌面默認端口 3389 轉(zhuǎn)發(fā)到 TS01 的內(nèi)部 IP 地址，確保外網(wǎng)用戶能夠通過遠程桌面客戶端訪問該服務(wù)器。

5. 在 DC 上完成遠程桌面服務(wù)的部署

在終端服務(wù)器 TS01 上配置完會話主機后，回到 DC 上完成遠程桌面服務(wù)的整體部署，確保所有組件正常工作。

打開遠程桌面服務(wù)部署界面：

在 DC 的 服務(wù)器管理器 中，選擇 遠程桌面服務(wù)。

配置遠程桌面服務(wù)角色：

在部署界面中，選擇 部署基于角色的遠程桌面服務(wù)，并配置 RD Licensing 和 RD Gateway 等服務(wù)。

驗證終端服務(wù)器設(shè)置：

確認 TS01 被正確識別為 遠程桌面會話主機，并且已配置好遠程桌面服務(wù)許可模式。

6. 測試遠程桌面多用戶登錄

完成所有設(shè)置后，測試多個用戶是否能夠同時通過遠程桌面登錄 TS01 服務(wù)器，并且每個用戶都能獲得獨立的桌面會話。

創(chuàng)建域用戶：

在 DC 上創(chuàng)建多個域用戶賬戶，分配合適的權(quán)限。

通過外網(wǎng)訪問 TS01：

使用外網(wǎng) IP 地址和配置好的端口，使用遠程桌面客戶端進行連接。

測試并驗證：

測試多個用戶能否同時登錄，并檢查會話是否獨立。

這樣，如果后續(xù)我們又新增了一臺終端應(yīng)用服務(wù)器（如 TS02），在我們前面已經(jīng)設(shè)置好的 RDS 許可服務(wù)器和組策略配置下，它將會自動接收和分發(fā)許可，而無需干預(yù)（組策略會完成這一切）。下面我們來理解一下它是怎么工作的。
后續(xù)：新增終端應(yīng)用服務(wù)器的流程和自動分發(fā)許可的機制
自動分發(fā)許可的前提：
域環(huán)境已經(jīng)有一臺配置了遠程桌面授權(quán)服務(wù)的域控制器，并且這個域控制器已經(jīng)激活了 RDS 許可服務(wù)。
在組策略中，已經(jīng)指定了許可服務(wù)器和許可模式（如 "Per User" 模式），并且該策略作用于整個域。
新增終端應(yīng)用服務(wù)器 TS02 的步驟：
將 TS02 加入域：新的終端應(yīng)用服務(wù)器需要加入 hansonhome.local 域，以確保它能夠從域控制器獲取相關(guān)的 RDS 許可。
安裝遠程桌面會話主機角色：在 TS02 上，按照之前 TS01 的方式，安裝 遠程桌面會話主機（Remote Desktop Session Host, RDSH） 角色。
啟用遠程桌面：同樣地，確保在 TS02 上啟用了遠程桌面功能，并且配置好端口轉(zhuǎn)發(fā)等網(wǎng)絡(luò)設(shè)置。
自動分發(fā)許可的原理：
組策略的作用：由于已經(jīng)在組策略中指定了遠程桌面許可服務(wù)器（DC）以及許可模式（Per User），任何加入域的新終端應(yīng)用服務(wù)器都會自動從這個許可服務(wù)器獲取許可證分發(fā)配置。
自動分發(fā)許可證：當(dāng)用戶通過遠程桌面登錄到 TS02 時，TS02 會自動向指定的 RDS 許可服務(wù)器（DC）請求用戶許可。如果服務(wù)器上有可用的 "Per User" 許可證，它將自動分發(fā)給當(dāng)前登錄的用戶。
確保許可證正常分發(fā)：
驗證組策略生效：在 TS02 上運行 gpupdate /force 命令，確保組策略設(shè)置（特別是關(guān)于 RDS 許可的策略）已成功應(yīng)用。
檢查 RDS 許可管理器：在 DC 上的 遠程桌面授權(quán)管理器 中，可以查看許可證的使用情況，確認 TS02 是否能夠正確分發(fā)許可。

總結(jié)
在域環(huán)境中，配置好遠程桌面授權(quán)服務(wù)后，新增的終端應(yīng)用服務(wù)器（如 TS02）會自動繼承組策略的設(shè)置，向 RDS 許可服務(wù)器請求并分發(fā)用戶許可證。這使得整個網(wǎng)絡(luò)環(huán)境中的 RDS 許可證管理變得自動化、統(tǒng)一化。當(dāng)有新用戶或新終端應(yīng)用服務(wù)器加入時，無需額外的手動配置。

該文章在 2024/12/5 15:54:02 編輯過