跨 Active Directory 網域/樹系或工作組設定 RDS 授權的最佳做法

本文提供跨網域、樹系或工作組設定遠端桌面（RD） 授權支援性（或建議方法）相關問題的相關信息。

適用於： Windows Server 2008 R2 Service Pack 1
原始 KB 編號： 2473823

注意

在 Windows Server 2008 R2 中，終端機服務會重新命名為遠端桌面服務 （RDS）。

問

RD 授權伺服器是否可以在下列任一情況下，對連線到 RD 工作階段主機 （終端伺服器） 伺服器的使用者或裝置發出用戶端存取授權 （CAL） ？

• RD 工作階段主機伺服器位於 Active Directory 網域，而 RD 授權伺服器位於工作組環境中。
• RD 工作階段主機伺服器位於工作組中，以及 Active Directory 網域中的 RD 授權伺服器。
• RD 工作階段主機伺服器和 RD 授權伺服器位於不同的樹系中。 這些樹系之間沒有信任（單向或雙向信任）。
• RD 工作階段主機伺服器和 RD 授權伺服器位於相同的工作組中。

回答

若要讓每一裝置和每個使用者 CAL 發行都能夠運作，下列三個組態中的任何一個 RD 會話主機和 RD 授權伺服器：

• 同一個工作組中的兩者
• 這兩者都位於相同的網域中
• 兩者都是信任的（雙向信任）Active Directory 網域 或樹系

以下是這些案例的詳細資訊：

• RDS 主機和 RDS 授權伺服器位於相同的工作組中

  在工作組環境中設定 RDS 和 RDS 授權伺服器時，請考慮下列幾點：

  • 我們只能在工作組環境中使用每個裝置 CAL。 因此，您應該只在 RDS 授權伺服器上安裝每個裝置 CAL。
  • 工作組模式不支援每個使用者 CAL 追蹤和報告。
  • RDS 主機和 RDS 授權伺服器角色都可以安裝在相同的伺服器上。
  • 如果您在工作組中的不同伺服器上安裝 RDS 授權伺服器，請確定 RDS 伺服器能夠存取 RDS 授權伺服器。

  在 Windows 2008 R2 中，RD 工作階段主機伺服器不再支援自動授權伺服器探索。 您必須使用遠端桌面會話主機組態嵌入式管理單元，指定 RD 工作階段主機伺服器要使用的授權伺服器名稱。 如需詳細資訊，請參閱 指定要使用之 RD 工作階段主機伺服器的授權伺服器。

• RDS 主機和 RDS 授權伺服器位於相同的網域中

  在 Active Directory 網域 案例中，我們可以在同一部伺服器或不同伺服器上擁有 RDS 主機和 RDS 授權伺服器。 在網域案例中設定 RDS 環境時，請考慮下列幾點：

  • 您可以在 RDS 授權伺服器上同時安裝 （每一裝置和每一使用者） CAL。

  • 授權伺服器的電腦帳戶必須是AD DS中終端伺服器授權伺服器群組的成員。 如果授權伺服器安裝在域控制器上，網路服務帳戶也必須是終端機伺服器授權伺服器群組的成員。

  • 若要限制 RDS CAL 的發行，您可以將 RDS 主機伺服器新增至 RDS 授權伺服器上的終端伺服器電腦群組，然後在 RDS 授權伺服器上啟用授權伺服器安全組原則設定。

  • 授權伺服器安全組原則設定位於計算機設定\原則\系統管理範本\Windows 元件\遠端 \RD 授權中，而且可以使用本地組原則編輯器或組策略控制台 （GPMC） 進行設定。

• RDS 主機伺服器位於一個網域/樹系中，而 RDS 授權伺服器位於另一個網域/樹系中

  在此案例中，您應該考慮下列幾點：

  • 這些網域/樹系之間應該有雙向信任。 它可以是樹系信任或外部信任。

  • 所有必要的埠都應該在防火牆上開啟。 如果您有需要開啟之埠的任何問題，請參閱 Windows 的服務概觀和網路埠需求。

  • 若要對其他網域中的使用者發出 RDS Per User CAL，網域之間必須有雙向信任，而且授權伺服器必須是這些網域中終端伺服器授權伺服器群組的成員。

  • 若要限制 RDS CAL 的發行，您可以將 RDS 主機伺服器新增至 RDS 授權伺服器上的終端伺服器電腦群組。

  • 在每個網域/樹系的所有 RDS 主機伺服器上設定 RDS 授權伺服器。 您可以透過 RDS 主機設定嵌入式管理單元或透過組策略來執行此動作。

  • 在 RDS 授權伺服器的本機系統管理員中，新增每個網域/樹系的系統管理員群組。 如此一來，當您在受信任的網域/樹系中開啟 RDS 主機設定嵌入式管理單元時，將不會收到輸入認證的提示。

資料收集

如果您需要Microsoft支援方面的協助，建議您遵循使用 TSS 收集資訊中針對使用者體驗問題收集資訊中所述的步驟來收集資訊。