让RemoteAPP自动关联本地文件

为了在客户端上实现“.rdp”文件和本地特定类型的关联问题，可以在远程桌面服务器上打开RemoteApp管理器，在列表中找到发布的程序（例如Word等），在右键菜单上点击“创建Windows Install程序包”项，在向导界面中依次点击“下一步”，在配置分发程序包窗口（如图1）中选择“将此程序的客户端扩展与RemoteApp程序项关联”项，点击“完成”。之后，将生成的WINWORD安装包复制到客户端，在客户端以域管理员身份安装该包。这样，在客户端双击与之关联的程序，就可以打开该远程程序操作了。

图1 配置分发程序包参数

让用户拥有不同的RemoteAPP

在远程桌面服务器上打开RemoteAPP管理器，在列表中选择某个程序（例如财务软件），在其属性窗口中的“用户分配”面板（如图2）中选择“指定域用户和域组”项，点击“添加”，导入目标账户（例如财务管理员等）。

这样，只有指定的账户才可以使用该程序。但是，当用户登录到RDWeb访问页面后，可以点击“远程桌面”链接，输入远程桌面服务器名称，通过远程登录的方法，来避开上述限制随意操作目标程序。为此，可以在远程桌面服务器上打开IIS管理器，打开“网 站 →Default Web Site→RDWeb→Pages”项，在右侧双击“应用程序设置”项，在“ShowDesktops”栏中将其值修改为“False”，就可以隐藏“远程桌面”链接。

身份验证提高访问安全性

在服务器上执行“mmc”命令，在控制台中点击“文件→添加/删除管理单元”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，选择“计算机账户”项，点击“完成”，将其添加进来。在控制台左侧选择“证书→个人”，在右键菜单上点击“所有任务→申请新证书”项，在向导界面中选择“Active Directory注册策略”项，点击“下一步”，选择“计算机”项，点击注册按钮，完成证书申请操作。

图2 为发布的程序分配账户

图3 为远程桌面服务绑定证书

我们也可以向Internet上的第三方证书颁发机构申请证书。打开远程桌面会话主机配置程序，在“RDPTCP”连接项的右键菜单上点击“属性”项，在弹出窗口中的“常规”面板（如图3）中的“安全层”列表中选择“SSL（TSL1.0）”项，点击“选择”按钮，在列表中选择上述申请的证书。点击“应用”。当客户端登录远程桌面后，在屏幕顶部的工具栏上点击锁型按钮，在弹出窗口中显示“使用服务器证书和Kerberos已验证远程计算机的身份”。点击“查看证书”按钮，显示证书的详细信息。

在上述窗口中的“环境”面板，选择“用户登录时启用些列程序”项，在“程序路径和文件名”栏中输入“c:windowssystem32logoff.exe”，在“起始于”栏中输入“c:windowssystem32”。这样，当用户试图登录远程桌面时，就会被直接注销。如果希望对会话时间进行控制的话，可以在“会话”面板中选择“改写用户设置”项，设置当客户端断开会话后，结束该会话的时间。在“活动会话限制”栏中设置客户端可以使用RemoteAPP以及远程桌面的时间值。在“空闲会话限制”栏中设置当超过多长时间的空闲状态后，自动关闭会话。选择“改写用户设置”和“结束会话”项，当满足以上条件后，自动结束会话。

单点登录远程桌面和RDWeb

在域控上打开组策略管理器，在左侧选择域名，在其右键菜单上点击“在这个域中创建GPO并在此处连接”项，输入GPO名称，选择该GPO，进入其编辑界面，选择“计算机配置→管理模版→系统→凭据分配”分支，双击“允许分配默认凭据”项，在弹出窗口中选择“已启用”项，在“将服务器添加到列表”栏中点击“显示”按钮，在显示内容窗口中输入“termsrv/xxx.com”，其中的“xxx.com”表示远程桌面服务器的DNS名称。点击“确定”，保存配置信息。

在客户端执行“gpupdate/force”命令，来刷新组策略。执行“gpresult /r”命令，来查看策略的应用情况。当确认应用了上述策略后，登录远程桌面时，就无法再次提交凭据了。对应的，也可以使用单点登录功能，来快捷的登录RDWeb站点。这就需要对RDP文件进行签名，之后使用RDWeb的方式，将其分发到客户端。这样，如果黑客对RDP文件中的服务器地址进行了修改，系统就会禁止用户进行登录。在服务器上打开RemoteAPP管理器。在“数字签名设置”栏中点击“更改”链接，在“数字签名”面板（如图4）中选择“使用数字证书签名”项，点击更改按钮，选择所需的证书。

图4 配置数字签名信息

在“RemoteApp程序”列表中删除所有已经发布的程序，点击“添加RemoteApp”链接，在向导界面中重新选择需要发布的程序。这样，就可以对这些RemoteApp进行数字签名处理。在客户端输入对应的域账户和密码，登录到RDWeb页面。点击对应的RemoteAPP程序，在弹出窗口会显示的发布者信息，点击“连接”，无需再次输入密码，就可以直接运行该程序。

快速部署RemoteApp程序

使用常规的部署方式，无法适应大规模部署RemoteAPP的场景，在远程连接代理服务器上打开远程桌面连接管理器，在右侧点击“创建配置文件”链接，在“RAD连接源URL”栏中输入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”，点击保存按钮，将其保存为独立的文件，放置到共享目录中。在客户端将该文件复制过来，双击该文件，在向导界面中点击下一步按钮，就可以创建RemoteAPP桌面连接。

使用连接代理保证会话连贯性

在一个负载均衡的环境中，所有的用户登录到服务器之后，都会产生包含用户名，打开的程序，用户IP等会话信息。用户再次登录时，主机会首先连接代理服务器，检测是否已存在会话信息。如果有的话，用户就会重定向到对应的服务器上的相应会话中。

在远程连接代理服务器运行“lusrmgr.msc”程序，在账户管理程序左侧选择“组”项，在右侧双击“Session Broker Computers”组，在属性窗口中点击“添加→对象类型→计算机”。之后将群集中的所有远程桌面会话主机添加进来。在远程桌面会话主机上打开远程桌面会话主机配置程序，在窗口中部双击“RD连接代理中的场的成员”项，在打开窗口中点击“更改设置”按钮，在设置窗口（如图5）中选择“场成员”项，输入远程连接代理服务器名称和场名称。

这样，就可以将当前主机的会话连接信息提交到会话目录中。在“RD连接代理”面板中选择“参与连接代理负载平衡”项，为当前主机设置相互权重值。对于场中配置较高的服务器，可以设置较高的权重值，使其可以响应更多的用户请求。点击应用按钮，保存配置信息。如果连接代理服务运行异常的话，可以运行“services.msc”程 序，重 启“Remote Desktop Connection Broker”服务，就可以有效解决问题。

快速发布虚拟机远程桌面

使用常规方法，只能允许用户访问将物理主机的远程桌面。利用VDI功能，可以将虚拟机的桌面发布给用户使用。在某台服务器（其DNS名 为“xxx.xnsrv.com”）上打开服务管理器，启动添加角色向导，在远程桌面服务列表中选择“远程桌面虚拟化主机”项，来安装组件（事先需要安装好Hyper-V角色）。打开Hyper-V管理器，创建所需的虚拟机。例如创建一台Windows 7虚拟机，将该虚拟机的名称修改为“VD01.xxx.com”，其中的“xxx.com”为域名。打开该虚拟机，将其添加到域环境中。

图5 配置RD连接代理信息

在控制面板中打开“允许程序通过Windows防火墙”项，选择“远程桌面”和“远程服务管理”项，使其可以穿越防火墙和外界通讯。打开PowerShell窗口，执行“Set-ExecutionPolicy remotesigned -force”和“Configure-VirtualMachine.ps l-RDVHost xxxxnsrv-RDUsers xxxuser01”命令，其中的“xxxxnsrv”为上述虚拟化主机的在域中的名称，“xxxuser01”为域中的账户名，表示该虚拟机将分配给名为“user01”用户使用。打开搜索引擎，搜索“Configure Guest OS for Microsoft VDI”内 容，可以查看和下载“Configure-VirtualMachine.psl”脚本文件的内容。

配置好虚拟机后，登录到远程桌面连接代理服务器上。打开远程桌面连接管理器，在右侧点击“配置虚拟机”链接，在向导界面中点击下一步，在“服务器名称”栏中输入远程桌面虚拟化主机名称，例如“xxx.xnsrv.com”。点击“添加”按钮，将其添加到列表中。在下一步窗口中的“服务器名称”栏中输入远程桌面会话主机名称，点击下一步按钮，输入RD Web代理服务器名称，其余设置保持默认。点击完成按钮，打开分配个人虚拟机向导界面，点击“选择用户”按钮，选择与虚拟机绑定的用户（例如“xxxuser01”）。在“虚拟机”列表中选择上述虚拟机名称，例如“VD01.xxx.com”。这样，当“user01”用户在客户端上登录RDWeb站点，就会显示“我的桌面”图标。点击该图标，就会登录为其指定的虚拟机上（该虚拟机必须事先处于关机状态）。