郭建伟

利用远程桌面服务，管理员不仅可以对遠程主机进行灵活的遥控操作。还可以发布RemoteAPP程序，让用户可以直接运行服务器上的软件，省却了本地安装的烦琐。管理员还可以将创建的虚拟机分发给指定的用户，使其可以登录到虚拟机上进行操作。这不仅利于集中管控，而且可以有效提高网络运维效率。要想管理好远程桌面服务，需要熟练地掌握各种操作技巧。这里就以很常用的Windows Server 2008R2为例，列举了‘些常用的使用技巧，希望对您有所帮助。

一、合理调控RDP带宽比例

远程桌面是通过RDP协议将服务器上的应用程序推送到客户端，同时将客户端的键盘鼠标操作信息返回给服务器。这部分内容占据的带宽称为显示带宽，此外，用户还可以将本地资源（例如磁盘、端口、打印机、剪切板等）通过RDP的虚拟通道映射到服务器上，使服务器和客户端可以自由地传输数据，其占用的带宽称为数据带宽。在默认情况下，两种带宽的比例为七比三。当然，如果用户主要远控服务器，不涉及数据互传的话，可以修改两者的比例，以便更好地执行远控操作。

在远程桌面服务器上打开注册表编辑器，展开“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼services＼TermDD”分支，其中的“FlowControlDisplayBandwidth”键值名控制的是显示带宽比例，“FlowControlChannelBandwidth”键值名控制的是数据带宽，其数值范围从0到255（以十进制为准）。例如，将前者设置为100，后者设置为50，显示带宽和数据带宽比例就为三比二。注意，必须重启桌面服务器，才可以使之生效。

二、让RemoteAPP自动关联本地文件

客户端通过RemoteAPP程序，可以使用远程桌面服务器端发布的程序。例如双击从服务器上获得“.rdp”文件，输入所需的账户名和密码，就可以启动该程序，但是却无法和本地特定类型的程序关联。例如双击本地的“.doc”文件，无法启动远程桌面服务器发布的Word程序将其打开。解决的方法是通过分发MST包的方式，使其可以和本地文件关联。在远程桌面服务器卜打开RemoteApp管理器，在列表中找到发布的程序（例如Word等），在其右键菜单上点击“创建Windows Install程序包”项，在向导界面中依次点击下一步按钮，在配置分发程序包窗口（图1）中选择“将此程序的客户端扩展与RemoteApp程序项关联”项，点击完成按钮，之后将生成的WINWORD安装包复制到客户端，在客户端以域管理员身份安装该包。这样，在客户端双击与之关联的程序，就可以打开该远程程序对其操作了。

三、为用户调配合适的CPU优先级

当多个用户同时使用RemoteAPP程序，在默认情况下，所有的用户获得的CPU资源是相同的。如果想让重要的用户拥有更高的CPU优先级，可以在远程桌面服务器上打开服务器管理器，在左侧选择“功能”项，在右侧点击“添加功能”链接。在向导界面中选择“Windows系统资源管理器”项，点击完成按钮，添加该组件。之后打开Windows系统资源管理器，选择“此计算机”项，点击连接按钮，在左侧选择“资源分配策略→Weighted_Remote_Session”项，在其右键菜单上点击“属性”项，在弹出窗口中点击“添加”按钮，在添加用户或组窗口中的“优先级”列表中选择“高级”项，点击“添加”按钮，导入所需的域用户或者组，点击确定按钮保存配置。这样，当这些用户使用RemoteAPP程序时就可以获得更多的CPU资源。

四、让用户拥有不同的RemoteAPP

在默认情况下，当用户访问“https：//RDWeb服务器地址”之类的网址，登录到RDWeb使用页面，可以看到并使用远程桌面服务器所有发布的程序。但是，在有些情况下，因为用户角色和职位等原因，管理员并不希望其看到所有发布的程序，而只允许其使用为其指定的程序。在远程桌面服务器上打开RemoteAPP管理器，在列表中选择某个程序（例如则务软件等），在其属性窗口中的“用户分配”面板（图2）中选择“指定域用户和域组”项，点击添加按钮，导入目标账户（例如则务管理员等）。

这样，只有指定的账户才可以使用该程序。但是，当用户登录到RDWeb访问页面后，可以点击“远程桌面”链接，输入远程桌面服务器名称，通过远程登录的方法，来避开上述限制随意操作目标程序。为此，可以在远程桌面服务器上打开ITS管理器，打开“网站”→“Default Web Site→RDWeb→Pages”项，在右侧双击“应用程序设置”项，在“ShowDesktops”栏中将其值修改为“False”，就可以隐藏“远程桌面”链接。

五、利用身份验证，提高访问的安全性

在默认情况下，当内网中的用户访问远程桌面时，使用的是Kerberos身份验证方式。对于外网用户来说，当其运行“mstsc”程序，利用远程桌面服务器DNS名称访问时，如果黑客对该DNS名称进行了劫持，就很容易泄漏敏感信息。因此，可以利用证书来验证服务器身份。例如，在服务器上执行“mmc”命令，在控制台中点击菜单“文件、添加/删除管理单元”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，选择“计算机账户”项，点击完成按钮，将其添加进来。在控制台左侧选择“证书、个大，项，在其右键菜单上点击“所有任务→申请新证书”项，在向导界面中选择“Active Directory注册策略”项，点击下一步按钮，选择“计算机”项，点击注册按钮，完成证书申请操作。

当然，也可以向Internet上的第三方证书颁发机构申请证书。打开远程桌面会话主机配置程序，在“RDP-Tcp”连接项的右键菜单上点击“属性”项，在弹出窗口中的“常规”面板（图3）中的“安全层”列表中选择“SSL（TSL1.0）”项，点击“选择”按钮，在列表中选择上述申请的证书。点击应用按钮，保存配置信息，当客户端登录远程桌面后，在屏幕顶部的工具栏上点击锁型按钮，在弹出窗口中显示“使用服务器证书和Kerberos已验证远程计算机的身份”。点击“查看证书”按钮，显示证书的详细信息。

在很多场合，处于安全性的考虑，往往只允许用户使用桌面服务器发布的RemoteAPP程序，而禁止其登录远程桌面。在上述窗口中的“环境”面板，选择“用户登录时启用系列程序”项，在“程序路径和文件名”栏中输入“c：＼windows＼system32＼logoff.exe”，在“起始于”栏中输入“c：＼windows＼system32”。这样，当用户试图登录远程桌面时，就会被直接注销。如果希望对会话时间进行控制的话，可以在“会话”面板中选择“改写用户设置”项，设置当客户端断开会话后，结束该会话的时间。在“活动会话限制”栏中设置客户端可以使用RemoteAPP以及远程桌面的时间值。在“空闲会话限制”栏中设置当超过多长时间的空闲状态后，自动关闭会话。选择“改写用户设置”和“结束会话”项，当满足以上条件后，自动结束会话。

六、保证安全，使用网络级身份验证

在Windows 2008及其之后的系统中，提供了对网络身份验证的支持。在默认情况下，其处于自动开启状态，采取网络级身份验证，有利于提高系统安全性。例如，可以在连接会话建立之前，就可以对用户身份进行验证，这可以防止恶意用户利用黑客软件，对远程桌面服务器进行密码破解。而且过多的连接，会消耗服务器的资源。当然，对于客户端来说，也必须支持网络级身份验证。

对于Windows XP SP3等老系统来说，是无法直接支持该功能的。为了解决该问题，可以运行注册表编辑器，打开“HKEY LOCAL MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa”分支，双击“Security Packages”键值名，将其内容中追加“tspkg”。选择“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼SecurityProviders”分支，双击“SecurityProviders”键值名，在其内容后追加“，credssp.dll”。修改完毕后重启系统，Windows XPSP3就可以支持网络级身份验证了。

七、单点登录远程桌面和RDWeb站点

在默认情况下，当用户使用域账户登录系统后，在访问远程桌面时，必须重新提交凭据方可。这多少显得有些烦琐，利用单点登录，就可以解决该问题。在域控上打开组策略管理器，在左侧选择域名，在其右鍵菜单上点击“在这个域中创建GPO并在此处连接”项，输入GPO名称，选择该GPO，进入其编辑界面，选择“计算机配置→管理模板→系统→凭据分配”分支，双击“允许分配默认凭据”项，在弹出窗口中选择“已启用”项，在“将服务器添加到列表”栏电点击“显示”按钮，在显示内容窗口中输入“termsrv/xxx.com”，其中的“xxx.com”表示远程桌面服务器的DNS名称。点击确定按钮，保存配置信息。

在客户端执行“gpupdate/force”命令，来刷新组策略。执行“gpresult/r”命令，来查看策略的应用情况。当确认应用了上述策略后，当登录远程桌面时，就无法再次提交凭据了。对应的，也可以使用单点登录功能，来快捷登录RDWeb站点。这就需要对RDPX件进行签名，之后使用RDWeb的方式，将其分发到客户端。这样，如果黑客对RDP文件中的服务器地址进行了修改，系统就会禁止用户进行登录。在服务器上打开RemoteAPP管理器，在“数字签名设置”栏电点击“更改”链接，在“数字签名”面板（图4）中选择“使用数字证书签名”项，点击更改按钮，选择所需的证书。

在“RemoteA即程序”列表中删除所有已经发布的程序，点击“添加RemoteApp”链接，在向导界面中重新选择需要发布的程序。这样，就可以对这些RemoteA即进行数字签名处理。在客户端输入对应的域账户和密码，登录到RDWeb页面。点击对应的RemoteAPP程序，在弹出窗口会显示发布者的信息，点击连接按钮，无须再次输入密码就可以直接运行该程序。

八、使用虚拟IP，让程序灵活运行

利用IP虚拟化功能，提高了远程桌面对应用程序的兼容性。因为有些程序需要绑定特定的IP，即使对同一个程序来说，当在不同的客户端上运行时需要配置不同的IPo在服务器卜打开远程桌面会话主机配置程序，在窗口中部双击“IP虚拟化”项，在弹出窗口（图5）中选择“启用IP虚拟化”项，如果配置了多块网卡，可以根据需要进行选择。在“IP虚拟化模式”栏中选择“每会话”“每程序”模式。例如选择“每程序”项，点击添加程序按钮，导入所需的程序。之后点击“添加RemoteApp”链接，来发布上述程序。当客户端在RDWeb站点运行该程序后，就会获得自动分配的虚拟IP。不同的客户端运行该程序，会获得不同的虚拟IP。注意，在域环境中必须存在DHCP服务器。

九、配置终端网关，避开黑客袭扰

在一般情况下，不管使用RemoteAPP程序或者登录远程桌面，客户端都会使用RDP协议来和服务器通讯。为了提高安全性，可以使用终端网关角色，将RDP协议封装到安全通道中，有力地提高远程桌面服务器的安全性。客户端连接的是TCP 443端口，这对于提高外网访问的安全性是很重要的。在某台服务器（例如“rdgate.xxx.com”）上打开服务器管理器，打开添加角色向导，选择“远程桌面服务”项，选择“远程桌面网关”项，并为之绑定证书，之后安装该组件。打开远程桌面网关管理器，在左侧选择“策略、连接授权策略”项，在右侧点击“新建策略→自定义”项，在新建策略窗口（图6）中输入其名称，在“要求”面板中的“用户组成员身份”栏中点击“添加组”按钮，导人所需的域账户组，例如“Domain Users”等。这样，这些组中的用户就可以通过RD网关的验证。

选择“策略→资源授权策略”项，在右侧点击“新建策略→自定义”项，在弹出窗口中输入其名称，在“用户组”面板中添加所需的账户组。如果已经更改了远程桌面服务器连接端口，可以在“允许使用的端口”面板中选择“允许通过以下端口连接”项，输入所需的端口号。在远程桌面服务器上打开RemoteAPP管理器，在右侧点击“RD会话主机”链接，在“RD网关”面板中选择“使用这些RD网关服务器设置”项，输入“rdgate.xxx.com”，在“登录方式”列表中选择“询问密码（NTLM）”项。之后将之前已经发布的程序删除，重新执行发布操作。当客户端登录到RDWeb站点，启动目标程序，在弹出窗口中就会显示网关服务器信息。点击连接按钮，就会通过终端网关来连接远程桌面服务器，来启动目标程序。

十、快速部署RemoteApp程序

在一般情况下，客户端为了获取服务器发布的程序，可以在控制面板中搜索“remoteapp”，双击找到“RemoteApp和桌面连接”项，在左侧点击“设置一个新连接”项，在向导界面中输入“https：//rds.xxx.com/rdweb/feed/webfeed.aspx”，其中的“rds.xxx.com”表示远程桌面主机的DNS名称。之后执行添加连接资源操作，完成后显示出可用的RemoteAPP程序信息。打开开始菜单，在程序列表中打开在“RemoteA即和桌面连接”菜单，在其中显示服务器端发布的程序。

不过，这种方法不仅操作起来比较烦琐，而且无法适应大规模部署RemoteAPP的场景，在远程连接代理服务器上打开远程桌面连接管理器，在右侧点击“创建配置文件”链接，在“BAD连接源URL”栏（图7）中输入“https：//rds.xxx.com/rdweb/feed/webfeed.aspx”，点击保存按钮，将其保存为独立的文件，放置到共享目录中。在客户端将该文件复制过来，双击该文件，在向导界面中点击下一步按钮，就可以创建RemoteAPP桌面连接，省去了手工配置的烦琐。

十一、使用连接代理，保证会话连贯性

在很多场合，单台的远程桌面服务器无法承担大量用户的访问需求，因此，将多台远程桌面服务器配置为群集，实现负载均衡功能，可以更好地为用户提供服务。当用户访问时，会随机连接到群集中的某台服务器上，在使用RemoteAPP或者远程桌面上，如果网络连接突然断开，当用户重新连接时，是无法保证顺利连接到上一个会话中的。使用远程连接代理服务的会话目录功能，可以有效解决该问题。在一个负载均衡的环境中，所有的用户登录到服务器之后，都会产生包含用户名、打开的程序、用户IP等会话信息。这些信息保存在特定的数据库中形成会话目录。

用户再次登录时，其连接的主机会首先访问连接代理服务器，来查看会话目录，检测是否已经存在会话信息。如果有的话，用户就会重定向到对应的服务器上的相应会话中。否则的话，就会连接到当前的服务器上。在远程连接代理服务器运行“lusrmgr.msc”程序，在賬户管理程序左侧选择“组”项，在右侧双击“Session Broker Computers”组，在其属性窗口电点击“添加”按钮，在弹出窗口中点击“对象类型”按钮，选择“计算机”项。之后将群集中的所有远程桌面会话主机添加进来。

在远程桌面会话主机上打开远程桌面会话主机配置程序，在窗口中部双击“RD连接代理中的场的成员”项，在打开窗口中点击“更改设置”按钮，在设置窗口（图8）中选择“场成员”项，输入远程连接代理服务器名称和场名称。这样，就可以将当前主机的会话连接信息提交到会话目录中。注意，所有的会话主机的场名称应该保持一致。在“RD连接代理”面板中选择“参与连接代理负载平衡”项，为当前主机设置相互权重值。对于场中配置较高的服务器，可以为其设置较高的权重值，使其可以响应更多的用户请求。点击应用按钮，保存配置信息。

按照同样的方法，在所有的远程会话主机上执行以上配置。注意，如果连接代理服务运行异常的话，可以在其上运行“services.msc”程序，重启“Remote Desktop Connection Broker”服务，就可以有效解决问题。安装远程桌面连接代理的方法很简单，在某台服务器（其DNS名为“xxx.ycdl.com”）上打开服务管理器，启动添加角色向导，在远程桌面服务列表中选择“远程桌面连接代理”项，来安装该组件。

十二、快速配置，发布虚拟机远程桌面

使用常规方法，只能允许用户访问物理主机的远程桌面。利用VDI功能，可以将虚拟机的桌面发布给用户使用。在某台服务器（其DNS名为“xxx.xnsrv.com”）上打开服务管理器，启动添加角色向导，在远程桌面服务列表中选择“远程桌面虚拟化主机”项，来安装该组件。当然，事先需要安装好Hyper-V角色。打开Hyper-V管理器，创建所需的虚拟机。例如创建一台Windows 7虚拟机，将该虚拟机的名称修改为“VD01.xxx.com”，其中的“xxx.com”为域名。打开该虚拟机，将其添加到域环境中。

在控制面板中打开“允许程序通过Windows防火墙”项，选择“远程桌面”和“远程服务管理”项，使其可以穿越防火墙和外界通讯。打开PowerShell窗口，执行“Set-ExecutionPolicy remotesigned-force”和“Configure-VirtualMachine.psl-RDVHost xxx＼xnsrv-RDUsers xxx＼user01”命令，其中的“xxx＼xnsrv”为上述虚拟化主机在域中的名称，“xxx＼user01”为域中的账户名，表示该虚拟机将分配给名为“user01”用户使用。打开搜索引擎，搜索“Configure Guest OS forMicrosoft VDI”内容，可以查看和下载“Configure-VirtualMachine.psl”脚本文件的内容。

配置好虚拟机后，登录到远程桌面连接代理服务器。打开远程桌面连接管理器，在右侧点击“配置虚拟机”链接，在向导界面中点击下一步按钮，在“服务器名称”栏中输入远程桌面虚拟化主机名称，例如“xxx.xnsrv.com”。点击添加按钮，将其添加到列表中。在下一步窗口中的“服务器名称”栏中输入远程桌面会话主机名称，点击下一步按钮，输入RD Web代理服务器名称。其余设置保持默认，点击完成按钮，打开分配个人虚拟机向导界面，点击“选择用户”按钮，选择与虚拟机绑定的用户（例如“xxx＼user01”）。在“虚拟机”列表中选择上述虚拟机名称，例如“VD01.xxx.com”。这样，当“user01”用户在客户端上登录RDWeb站点，就会显示“我的桌面”图标。点击该图标，就会登录为其指定的虚拟机上。当然，该虚拟机必须事先处于关机状态。