部署遠端桌面環境
您可以使用下列步驟,在您的環境中部署遠端桌面伺服器。 您可以根據您建立的是內部部署、雲端式還是混合式環境,在實體機器或虛擬機器上安裝伺服器角色。
如果您使用虛擬機器來安裝任何遠端桌面服務伺服器,請確定您已備妥這些虛擬機器。
將您要用於遠端桌面服務的所有伺服器新增至伺服器管理員:
- 在 [伺服器管理員] 中,按一下 [管理]>[新增伺服器]。
- 按一下 [立即尋找]。
- 按一下部署中的每一個伺服器 (例如 Contoso-Cb1、Contoso-WebGw1 和 Contoso-Sh1),然後按一下 [確定]。
建立工作階段型部署,以部署遠端桌面服務元件:
- 在 [伺服器管理員] 中,按一下 [管理]>[新增角色及功能]。
- 按一下 [遠端桌面服務安裝]、[標準部署] 和 [工作階段型桌面部署]。
- 選取適當的伺服器作為 RD 連線代理人伺服器、RD Web 存取伺服器和 RD 工作階段主機伺服器 (例如 Contoso-Cb1、Contoso-WebGw1 和 Contoso-SH1)。
- 選取 [必要時自動重新啟動目的地伺服器],然後按一下 [部署]。
- 等待部署順利完成
新增 RD 授權伺服器:
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 概觀 > + RD 授權]。
- 選取將要安裝 RD 授權伺服器的虛擬機器 (例如 Contoso-Cb1)。
- 按 [下一步],然後按一下 [新增]。
啟用 RD 授權伺服器,並將其新增至「授權伺服器」群組:
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 伺服器]。 以滑鼠右鍵按一下已安裝遠端桌面授權角色的伺服器,然後選取 [RD 授權管理員]。
- 在 [RD 授權管理員] 中選取伺服器,然後按一下 [動作 > 啟用伺服器]。
- 接受 [啟用伺服器精靈] 中的預設值。 繼續接受預設值,直到 [公司資訊] 頁面為止。 然後,輸入您的公司資訊。
- 接受其餘頁面的預設值,直到最後一頁。 清除 [立即啟動安裝授權精靈],然後按一下 [完成]。
- 選取動作>檢閱組態>新增至群組>確定。 為 AAD DC 系統管理員群組中的使用者輸入認證,並註冊為 SCP。 如果您使用 Microsoft Entra Domain Services,此步驟可能無法運作,但您可以忽略任何警告或錯誤。
新增 RD 閘道伺服器和憑證名稱:
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 概觀 > + RD 閘道]。
- 在「新增 RD 閘道伺服器精靈」中,選取要安裝 RD 閘道伺服器的虛擬機器 (例如 Contoso-WebGw1)。
- 使用 RD 閘道伺服器的外部完整 DNS 名稱 (FQDN) 輸入 RD 閘道伺服器的 SSL 憑證名稱。 在 Azure 中,這是 DNS 名稱標籤,且會使用 servicename.location.cloudapp.azure.com 格式。 例如 contoso.westus.cloudapp.azure.com。
- 按 [下一步],然後按一下 [新增]。
為 RD 閘道和 RD 連線代理人伺服器建立並安裝自我簽署憑證。
注意
如果您要從受信任的憑證授權單位提供並安裝憑證,請為每個角色執行步驟 h 到步驟 k 的程序。 每個這類憑證都需要有可用的 .pfx 檔案。
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 概觀 > 工作 > 編輯部署內容]。
- 展開 [憑證],然後向下捲動至資料表。 按一下 [RD 閘道 > 建立新的憑證]。
- 使用 RD 閘道伺服器的外部 FQDN 輸入憑證名稱 (例如 contoso.westus.cloudapp.azure.com),然後輸入密碼。
- 選取 [儲存此憑證],然後瀏覽至您在先前的步驟中為憑證建立的共用資料夾。 (例如 \Contoso-Cb1\Certificates。)
- 輸入憑證的檔案名稱 (例如 ContosoRdGwCert),然後按一下 [儲存]。
- 選取 [允許憑證新增至目的地電腦上受信任的根憑證授權單位憑證存放區],然後按一下 [確定]。
- 按一下 [套用],然後等待憑證順利套用至 RD 閘道伺服器。
- 按一下 [RD Web 存取 > 選取現有的憑證]。
- 瀏覽至為 RD 閘道伺服器建立的憑證 (例如 ContosoRdGwCert),然後按一下 [開啟]。
- 輸入憑證的密碼,並選取 [允許憑證新增至目的地電腦上受信任的根憑證存放區],然後按一下 [確定]。
- 按一下 [套用],然後等待憑證順利套用至 RD Web 存取伺服器。
- 使用 RD 連線代理人伺服器的內部 FQDN 作為新的憑證名稱 (例如 Contoso-Cb1.Contoso.com),重複 RD 連線代理人 - 啟用單一登入和 RD 連線代理人 - 發佈服務的子步驟 1-11。
匯出自我簽署的公開憑證,並將其複製到用戶端電腦。 如果您使用信任的憑證授權單位所發出的憑證,則可以略過此步驟。
- 啟動 certlm.msc。
- 展開 [個人],然後按一下 [憑證]。
- 在右窗格中,以滑鼠右鍵按一下預定要用於用戶端驗證的 RD 連線代理人憑證,例如 Contoso-Cb1.Contoso.com。
- 按一下 [所有工作 > 匯出]。
- 接受「憑證匯出精靈」中接受預設值的預設選項,直到您進入 [要匯出的檔案] 頁面。
- 瀏覽至您為憑證建立的共用資料夾,例如 \Contoso-Cb1\Certificates。
- 輸入檔案名稱 (例如 ContosoCbClientCert),然後按一下 [儲存]。
- 按 [下一步],然後按一下 [完成]。
- 為 RD 閘道和 Web 憑證 (例如 contoso.westus.cloudapp.azure.com) 重複子步驟 1-8,為匯出的憑證指定適當的檔案名稱,例如 ContosoWebGwClientCert。
- 在檔案總管中,瀏覽至憑證儲存所在的資料夾,例如 \Contoso-Cb1\Certificates。
- 選取兩個匯出的用戶端憑證,並在其上按一下滑鼠右鍵,然後按一下 [複製]。
- 在本機用戶端電腦上貼上這些憑證。
設定 RD 閘道和 RD 授權的部署內容:
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 概觀 > 工作 > 編輯部署內容]。
- 展開 [RD 閘道],並清除 [本機位址不使用 RD 閘道伺服器] 選項。
- 展開 [RD 授權],然後選取 [每個使用者]
- 按一下 [確定]。
建立工作階段集合。 這些步驟會建立基本集合。 如需集合的詳細資訊,請參閱建立遠端桌面服務集合,以執行桌面和應用程式。
- 在 [伺服器管理員] 中,按一下 [遠端桌面服務 > 集合 > 工作 > 建立工作階段集合]。
- 輸入集合名稱 (例如 ContosoDesktop)。
- 選取 RD 工作階段主機伺服器 (Contoso-Sh1)、接受預設的使用者群組 (Contoso\Domain 使用者),並輸入上面所建立的使用者設定檔磁碟的通用命名慣例 (UNC) 路徑 (\Contoso-Cb1\UserDisks)。
- 設定大小上限,然後按一下 [建立]。
您現在已建立基本的遠端桌面服務基礎結構。 如果您需要建立高可用性部署,您可以新增連線代理人叢集或第二個 RD 工作階段主機伺服器。