04.使用远程桌面Web访问部署个人虚拟桌面循序渐进指南.docx

使用远程桌面Web 访问部署个人虚拟桌面循序渐进指南Microsoft Corporation公布日期：2023 年 5 月更日期：2023 年 4 月摘要个人虚拟桌面是指为组织内部用户安排的虚拟机，并且需要通过 RemoteApp 和远程桌面，或通过远程桌面 Web 访问 RD Web Access 的方式进展访问。在本指南中，我们将创立个人虚拟桌面， 并使用 RD Web Access 进展连接。版权信息本文档只是初稿，在其中所述软件的最终商业公布之前，本文档内容可能会有较大改动。本文档属 于Microsoft Corporation 的机密和专利信息。本文档的披露需要遵守承受者和 Microsoft 之间的不披露协议。本文档仅限供给信息之用途， Microsoft 对本文档中的信息，包括 URL 及其他所引用的Internet Web 站点，不供给任何明示、暗含，或法定的担保，并且内容有可能随时修改。用户需要担当使用本文档中所包含的信息所导致的全部风险。除非特别注明，本文档中提及的公司、组织、 产品、域名、电子邮件地址、徽标、人员、场所，以及大事皆属于范例，与现实世界中的真实公司、组织、产品、域名、电子邮件地址、徽标、人员、场所，或大事没有任何关系。遵守全部适用版权 法是用户的责任。在不限制版权权利的状况下，如未获得 Microsoft Corporation 明确的书面许可， 不得以任何形式或通过任何方法电子、机械、复印、记录或其他方法或出于任何目的将本文档 的任何局部进展复制、存入或引入检索系统或进展传送。Microsoft 可能拥有适用于本文档中所涉及主题的专利权、专利申请权、商标权、版权或其他学问产权。除非得到 Microsoft 明确出示的任何书面许可协议，否则供给本文档并不表示授权您使用上述专利、商标、版权或其他学问产权。© 2023 Microsoft Corporation 。保存全部权利。Microsoft ，以及 Active Directory 、RemoteApp 、Windows ，及 Windows Server 是Microsoft 集团公司的商标。全部其他商标皆属于各自的全部者。名目使用远程桌面 Web 访问部署个人虚拟桌面循序渐进指南4关于本指南4本指南未能供给的内容5技术回忆5场景：通过在测试环境使用 RD Web 访问部署个人虚拟桌面7第 1 步：安装和配置虚拟机8安装个人虚拟桌面计算机 PVD1-CLNT 8为远程桌面效劳配置虚拟机10第 2 步：配置个人虚拟桌面11第 3 步：验证个人虚拟桌面工作正常13附件A：手工配置虚拟机14使用远程桌面Web 访问部署个人虚拟桌面循序渐进指南关于本指南本循序渐进指南将向您介绍在测试环境中使用远程桌面 W eb 访问 RD Web Access 功能创立个人虚拟桌面的步骤。通过这些步骤，您将创立包含以下组件的测试部署环境：· 一台远程桌面虚拟化宿主 RDVirtualization Host 效劳器· 一台远程桌面连接 Broker RDConnection Broker 效劳器· 一台使用重定向模式的远程桌面会话主机 RD Session Host 效劳器· 一台远程桌面 Web 访问RDWeb Access 效劳器· 一台被配置为个人虚拟桌面的虚拟机本指南将假设您已经完成了安装远程桌面会话主机循序渐进指南 :/go.microsoft /fwlink/?LinkId=147292 中的步骤，并且已经部署了以下组件：· 一台 RD 会话主机效劳器· 一台远程桌面连接客户端计算机· 一台Active Directory 域效劳域掌握器在完本钱指南中列出的步骤后，您将能够：· 在CONSOTO 域中安装必要的效劳器。· 安装并配置用作个人虚拟桌面的虚拟机。· 配置个人虚拟桌面。· 验证个人虚拟桌面可以正常工作。个人虚拟桌面的主要用途是为用户供给专用的虚拟桌面。4本指南未能供给的内容本指南并未供给以下内容：· 远程桌面效劳概述。· 设置Active Directory 域效劳或 RD 会话主机的指导。该话题的具体信息可参考 安装远程桌面会话主机循序渐进指南 :/go.microsoft /fwlink/?LinkId=147292 。要猎取该文档的可下载版本，可访问 Microsoft 下载中心网站的安装远程桌面会话主机循序渐进指南 :/go.microsoft /fwlink/?LinkId=147293 页面。重要假设您曾在安装远程桌面会话主机循序渐进指南中配置过计算机，则需要在环境中完本钱指南列出的步骤。· 安装和配额制虚拟桌面池的指导。这些信息可参考 使用远程桌面 Web 访问部署虚拟桌面池循序渐进指南 :/go.microsoft /fwlink/?LinkId=147906 ，要猎取该文档的可下载版本， 可访问Microsoft 下载中心网站的使用远程桌面 Web 访问部署虚拟桌面池循序渐进指南 :/go.microsoft /fwlink/?LinkId=147907 页面。· 导入个人虚拟桌面数字签名所需证书的指导。· 在生产环境中创立和配置个人虚拟桌面的指导。· 远程桌面效劳的完整技术参考。技术回忆承载于 RD 虚拟化主机效劳器上的虚拟机可安排给 Active Directory 域效劳AD DS中的用户帐户，充当其个人虚拟桌面，而用户可以使用 RemoteApp 和桌面连接技术，或使用 RD Web 访问的方式进展访问。为AD DS 中的用户安排个人虚拟桌面时，需要考虑以下问题：· 要部署个人虚拟桌面，您的 Active Directory 林架构必需至少为 Windows Server 2023 。要使用Active Directory 用户和计算机掌握台中 用户帐户属性 对话框内，个人虚拟桌面 选项卡下供给的额外功能，则需从运行 Windows Server2023 R2 ，或运行 Windows 7 并安装了远程效劳器治理工具 RSAT的计算机上运行 Active Directory 用户和计算机掌握台。· 域功能级别必需至少为 Windows 2023 Server 纯模式，Windows 2023 Server 混合模式以及Windows Server 2023 临时模式不被支持。· 确保 RDVH-SRV 计算机满足 Hyper-V 安装需求 :/go.microsoft /fwlink/?LinkId=122183 。· 用户帐户和虚拟机必需属于 Active Directory 域成员。· 个人虚拟桌面只能使用 Windows 客户端操作系统，无法在虚拟机中安装 Windows Server®2023R2 并将其安排为个人虚拟桌面。· 一位用户在同一时间内只能安排一套个人虚拟桌面。· 同一台虚拟机在同一时间内只能安排充当一个用户的个人虚拟桌面。· Hyper-V 治理器工具中虚拟机的名称必需与计算机的完全合格域名 FQDN相匹配。重要虚拟机不应属于虚拟桌面池的成员，才能安排给用户作为个人虚拟桌面。用户可通过以下方式连接到个人虚拟桌面。1. 用户使用 RD Web 访问或使用 RemoteApp 和桌面连接的方式发起到个人虚拟桌面的连接。2. 恳求被发往处于重定向模式下的 RD 会话主机效劳器。3. 运行于重定向模式的 RD 会话主机效劳器将恳求转发到 RD 连接 Broker 效劳器。4. RD 连接Broker 效劳器查询 Active Directory 域效劳，并检索安排给发起恳求的用户帐户的虚拟机的名称。5. RD 连接Broker 效劳器机器能够恳求发往 RD 虚拟化主机效劳器，以启动虚拟机。6. RD 虚拟化主机效劳器将完全合格域名的 IP 地址返回给 RD 连接 Broker 效劳器， RD 连接Broker 效劳器随后会将此信息发往重定向模式的 RD 会话主机效劳器。7. 运行于重定向模式的 RD 会话主机效劳器将恳求重定向到发起该连接的客户端计算机。8. 客户端计算机连接到个人虚拟桌面。场景：通过在测试环境使用 RD Web 访问部署个人虚拟桌面我们建议您首先在测试环境中使用本指南供给的操作步骤。依据本意，并不应当在不参考其他部署文档的状况下，只借助循序渐进指南部署 Windows Server® 功能，并且要将本指南作为唯一参考文档进展使用也必需慎重。当完本钱循序渐进指南的内容后，您就为用户帐户预备好了个人虚拟桌面，并可使用 RD Web 访问功能进展访问。随后可作为标准用户通过 RD Web 访问功能访问个人虚拟桌面，以验证功能。本指南描述的测试环境包含七台连接到专用网络的计算机，并分别安装了以下操作系统、应用程序， 以及效劳：计算机名操作系统应用程序和效劳CONTOSO-DCWindows Server2023R2Active Directory 域效劳ADDS、DNSRDSH-SRVWindows Server2023R2RD 会话主机CONTOSO-CLNTWindows®7远程桌面连接RDVH-SRVWindows Server2023R2RD 虚拟化主机、Hyper-VRDCB-SRVWindows Server2023R2RD 连接BrokerRDWA-SRVWindows Server2023R2RDWeb 访问PVD1-CLNTWindows7虚拟机全部计算机都位于一个专用网络中，并通过一般的集线器或二层交换机连接在一起。本循序渐进练 习使用了符合测试试验室配置的专用网络，该专用网络的网络 ID 为 10.0.0.0/24 ，其中有一台针对contoso 域的，名为 CONTOSO-DC 的域掌握器。以下图展现了测试环境的配置状况。第 1 步：安装和配置虚拟机在这一步中，您将安装并配置用作个人虚拟桌面的虚拟机。在设置相应的计算机名、操作系统，以及网络设置时，可参考下表列出的内容，并且要完本钱指南列出的步骤，也必需使用以下设置。计算机名操作系统需求IP 设置DNS设置PVD1-CLNTWindows7IP 地址：10.0.0.9首选：10.0.0.1子网掩码：255.255.255.0默认网关：10.0.0.1安装个人虚拟桌面计算机PVD1-CLNT要配置充当个人虚拟桌面的虚拟机，必需在虚拟机中安装 Windows 7 ，配置 TCP/IP 属性，并将虚拟机参加到 contoso 域。要在虚拟机中安装 Windows 781. 作为 CONTOSOAdministrator 登录到 RDVH-SRV。2. 将Windows 7 产品安装光盘放入 RDVH-SRV 效劳器的 DVD 光驱中。3. 翻开 Hyper-V 治理器。要翻开 Hyper-V 治理器，请单击开头，指向治理工具 ，然后单击Hyper-V Manager 。4. 右键单击 RDVH-SRV ，指向建，然后单击虚拟机 。5. 在开头之前 页面上，单击下一步 。6. 在名称框中，输入 pvd1-clnt.contoso ，然后单击下一步 。7. 在安排内存 页面上，单击下一步 。8. 在配置网络 页面上的连接框中，选择包含 contoso 域中其他计算机的专用网络，然后单击下一步 。9. 在连接虚拟磁盘 页面的名称框中，输入 pvd1-clnt.contoso ，在大小框中输入 30，然后单击下一步 。10. 在安装选项 页面上，单击从可引导 CD/DVD-ROM 驱动器安装操作系统 。11. 在物理 CD/DVD 驱动器 框中，选择包含 Windows 7 产品光盘的 DVD 驱动器，然后单击 下一步。12. 在完成虚拟机向导 页面上，复查全部安装选项，然后单击 完成。13. 在虚拟机 区域中，右键单击 pvd1-clnt.contoso ，然后选择连接。14. 在操作菜单中，单击启动以开头安装 Windows 7 。15. 在安装虚拟机的过程中，指定该计算机的名称为 pvd1-clnt 。随后需要配置 TCP/IP 属性，这样 PVD1-CLNT 才能使用静态 IP 地址 10.0.0.9，另外还应将CONTOSO-DC10.0.0.1配置为 DNS 效劳器。要配置 TCP/IP 属性1. 使用本地 Administrators 组帐户登录到 PVD1-CLNT 。2. 单击开头，单击掌握面板 ，单击网络和 Internet ，单击网络和共享中心 。3. 单击更改适配器设置 ，右键单击本地连接 ，然后单击属性。4. 在网络选项卡下，单击 Internet 协议版本 4TCP/IPv4，然后单击属性。5. 单击使用以下 IP 地址，在 IP 地址框中输入 10.0.0.9，在子网掩码 框中输入10255.255.255.0 ，在默认网关 框中输入 10.0.0.1。6. 单击使用以下 DNS 效劳器地址 ，在首选 DNS 效劳器框中输入 10.0.0.1 。7. 单击确定，然后关闭本地连接属性 对话框。最终，需要将 PVD1-CLNT 参加contoso 域。要将 PVD1-CLNT 参加 contoso 域1. 单击开头，右键单击计算机 ，然后单击属性。2. 在计算机名称、域和工作组设置 下，单击更改设置 。3. 在计算机名 选项卡下，单击更改。4. 在计算机名/域更改对话框中，隶属于 选项下，单击域，然后输入 contoso 。5. 单击其他，在此计算机的主 DNS 后缀框中输入 contoso 。6. 单击确定，然后再次单击确定。7. 当计算机名/域更改对话框要求供给治理员凭据时，请供给 CONTOSOAdministrator 的凭据，然后单击确定。8. 当计算机名/域更改对话框显示欢送参加 contoso 域的信息后，单击确定。9. 当计算机名/域更改对话框要求重启动计算机时，单击 确定，然后单击关闭。10. 单击马上重启动 。为远程桌面效劳配置虚拟机要配置虚拟机可使用 Windows PowerShell 。假设期望手工配置该虚拟机，则可参考本文档的附件A：手工配置虚拟机。或者参见 03 使用远程桌面 WEB 访问部署虚拟机池。Windows PowerShell 脚本可在虚拟机中执行以下操作：· 启用远程桌面· 启用远程过程调用 RPC· 添加所选用户到 Remote Desktop Users 组· 为添 RD 虚拟化主机效劳器添加相应的 RDP-TCP 监听器权限· 为远程桌面效劳添加 Windows 防火墙例外· 为远程效劳治理添加 Windows 防火墙例外· 重启动 Remote Desktop Services 效劳该脚本可从 Microsoft TechNet 脚本中心 :/go.microsoft /fwlink/?LinkId=184804 下载。要配置虚拟机，请在 Windows PowerShell 提示符下输入以下命令：1. Set-ExecutionPolicyremote signed force，然后按下回车键。2. Configure-VirtualMachine.ps1RDVHostcontosordvh-srvRDUserscontosomskinner ， 然后按下回车键。留意：假设不利用 PowerShell 配置，则可以参考“使用远程桌面 Web 访问部署虚拟机池循序渐进指南”文档中的客户端配置方法。第 2 步：配置个人虚拟桌面在本步骤中，您将配置个人虚拟桌面。为此，需要执行以下操作：要在 RDCB-SRV 上配置个人虚拟桌面1. 作为 CONTOSOAdministrator 登录到 RDCB-SRV。2. 单击开头，指向治理工具 ，指向远程桌面效劳 ，然后单击远程桌面连接治理器 。3. 在操作窗格中单击配置虚拟桌面对导 。4. 在开头之前 页面上，单击下一步 。5. 在选择 RD 虚拟化主机效劳器 页面的效劳器名称 框中，输入 rdvh-srv ，单击添加，然后单击下一步 。6. 在配置重定向设置 页面上的效劳器名称 框中，输入 rdsh-srv，然后单击下一步 。7. 在指定 RD Web 访问效劳器 页面上，单击下一步 。8. 在确认变动 页面上，单击应用。9. 确保选中了安排个人虚拟桌面 选项，然后单击完成。10. 在安排个人虚拟桌面 页面上，单击选择用户 。11. 在输入对象名称以选择 框中，输入 contosomskinner ，然后单击确定。12. 在虚拟机 框中，单击 pvd1-clnt.contoso ，然后单击确定。1213. 确认用户名 和虚拟机框显示了正确的内容，然后单击 安排。14. 反选向其他用户安排其他虚拟机 选项，然后单击完成。第 3 步：验证个人虚拟桌面工作正常要验证个人虚拟桌面环境的功能正常，您需要以 Morgan Skinner 登录，并使用远程桌面 Web 访问RD Web Access 方式连接到个人虚拟桌面。要连接到个人虚拟桌面1. 作为Morgan Skinner CONTOSOmskinner 登录到 CONTOSO-CLNT 。2. 单击开头，指向全部程序 ，然后单击 Internet Explorer 。3. 在地址栏中输入 s:/rdwa-srv.contoso /RDWeb ，然后按下回车键。4. 单击连续扫瞄此网站不推举 。13重要本指南为 RD Web 访问效劳器使用了自签名证书，但生产环境中不建议使用自签名证书。假设要在生产环境中部署 RD Web 访问效劳器，应当使用来自可信证书颁发机构的证书。5. 在域用户名框中，输入 CONTOSOmskinner 。6. 在密码框中，输入为 Morgan Skinner 指定的密码，然后单击 登录。留意假设收到消息询问是否要安装 Microsoft 远程桌面效劳 Web 访问控件 ，请单击运行加载项 ，然后单击运行。7. 单击我的桌面 ，然后单击连接。8. 在被询问时，输入 Morgan Skinner 的凭据，然后单击确定。至此已经成功部署并演示了个人虚拟桌面的功能，并使用一个简洁的场景通过 RD Web 访问功能创立了个人虚拟桌面。您还可以通过额外的配置和测试，利用该环境感受个人虚拟桌面的其他功能。附件 A：手工配置虚拟机使用上文第 3 步提到的 Windows PowerShell 脚本是本指南的建议做法，然而这些工作也可依据以下步骤手工执行：· 启用远程桌面。· 将使用该虚拟机的用户帐户添加到本地 Remote Desktop Users 安全组。· 允许远程 RPC。· 创立防火墙例外，以允许远程效劳治理。· 为RDP 协议添加权限。首先，需要启用远程桌面。要启用远程桌面1. 使用本地 Administrators 组成员帐户登录到 PVD1-CLNT。2. 单击开头，右键单击计算机 ，然后单击属性。3. 单击远程设置 。4. 在远程桌面 选项下，单击仅允许运行使用网络级别身份验证的远程桌面的计算机连接更安全 ，然后单击确定。随后，需要将使用该虚拟机的用户帐户添加到 PVD1-CLNT 的本地 Remote Desktop Users 安全组。在本指南中，我们将添加 Morgan Skinner 。要将 Morgan Skinner 添加到本地 Remote Desktop Users 组1. 单击开头，然后单击掌握面板 。2. 单击系统和安全 ，单击治理工具，然后双击计算机治理 。3. 开放本地用户和组 ，然后单击组。4. 右键单击 Remote De sktop Users，然后单击添加到组 。5. 单击添加，随后在选择用户、计算机、效劳帐户，或组 对话框中，输入contosomskinner ，然后单击确定。6. 关闭 Remote Desktop Users 属性对话框。接着需要在 PVD1-CLNT 上允许远程 RPC。要为远程桌面效劳允许远程 RPC1. 使用本地 Administrators 组成员帐户登录到 PVD1-CLNT。2. 单击开头，在搜寻程序和文件 框中输入 regedit.exe ，然后按下回车键。警告错误修改注册表有可能导致系统严峻受损。在对注册表进展任何修改之前，应当备份计算机上注册表的全部值。3. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer。4. 双击 AllowRemoteRPC 注册表项，在值数据 框中，输入 1，然后单击确定。5. 关闭注册表编辑器。接着需要启用远程效劳治理的 Windows 防火墙例外。要启用远程效劳治理的 Windows 防火墙例外1. 单击开头，单击掌握面板 ，然后单击系统和安全 。2. 在 Windows 防火墙 选项下，单击允许程序通过 Windows 防火墙 。3. 选中远程效劳治理 选项，然后单击确定。最终还要为 RDVH-SRV 计算机帐户安排在 PVD1-CLNT 上使用 RDP 协议的权限，并重启动PVD1-CLNT 上的 Remote Desktop Services 效劳。RDVH-SRV 计算机帐户需在 PVD1-CLNT 上具备 WINSTATION_QUERY 、WINSTATION_LOGOFF ，及 WINSTATION_DISCONNECT权限。要为虚拟机添加 RDP 协议的权限1. 单击开头，指向全部程序 ，然后单击附件。2. 右键单击命令提示符 ，选择以治理员身份运行 。3. 假设消灭用户帐户掌握 对话框，请确认显示的操作正是需要的，然后单击 连续。4. 在命令提示符下，依次运行以下命令：· wmic /node:localhost RDPERMISSIONS where TerminalName=“RD-PTcp“ CALL AddAccount “contosordvh-srv$“,1· wmic /node:localhost RDACCOUNT where “(TerminalName=”RDP-Tcp” or TerminalName=”Console”) and AccountName=”contosordvh-srv$”“ CALL ModifyPermissions 0,1· wmic /node:localhost RDACCOUNT where “(TerminalName=”RDP-Tcp” or TerminalName=”Console”) and AccountName=”contosordvh-srv$”“ CALL ModifyPermissions 2,1· wmic /node:localhost RDACCOUNT where “(TerminalName=”RDP-Tcp” or TerminalName=”Console”) and AccountName=”contosordvh-srv$”“ CALL ModifyPermissions 9,1· Net stop termservice· Net start termservice5. 注销PVD1-CLNT 计算机，随后 Morgan Skinner 才能成功登录自己的个人虚拟桌面。