配置和激活“远程桌面服务”角色。默认情况下,Windows Server 允许2个管理员的并发远程会话,要支持更多用户,需要安装“远程桌面会话主机”角色并购买相应的RDS客户端访问许可证。
以下是详细的实现步骤,分为两个主要方案:
方案一:使用内置的免费管理会话(仅限2个并发管理用户)
此方案无需额外付费,适合小规模管理员团队。
启用远程桌面
- 打开 服务器管理器 > 本地服务器。
- 点击 远程桌面 设置,选择“启用”。
- 或者通过 控制面板 > 系统 > 远程设置,选择“允许远程连接到此计算机”。
配置防火墙
- 通常启用远程桌面时,Windows 防火墙会自动放行 TCP 3389 端口。请确保它没有被其他防火墙策略阻止。
添加允许远程登录的用户
- 在“远程设置”窗口中,点击 选择用户。
- 点击 添加,将需要远程登录的非管理员用户添加到列表中。
注意:此模式下,只有管理员组成员可以连接,且最多支持2个并发会话(第3个连接会踢掉前一个)。所有会话都共享服务器的计算资源。
方案二:安装完整的远程桌面服务角色(支持多用户,需要额外授权)
此方案是真正的“多用户”环境,允许多个标准用户同时登录运行各自的桌面/应用,适用于发布虚拟桌面或远程应用。
阶段一:部署前准备
系统要求:确保服务器有足够的内存、CPU和存储空间。每个用户会话会消耗资源。
网络要求:稳定的网络连接。
授权准备:这是关键步骤。你需要购买:
- RDS 客户端访问许可证:每个连接的用户或设备都需要一个。
- Windows Server 许可证:服务器本身需要授权。
- 在180天宽限期内配置好RD授权服务器并安装CAL。
阶段二:通过服务器管理器安装角色
打开服务器管理器 >
管理 >
添加角色和功能。
选择安装类型:选择
“远程桌面服务安装”。
- 这是推荐方式,它会启动一个部署向导,引导你完成标准部署。
选择部署类型:对于初次部署,选择
“标准部署”。
选择部署方案:选择
“基于会话的桌面部署”。这是最常见的方案,用户共享同一个服务器操作系统。
指定角色服务:向导会引导你依次添加三台服务器(可以是同一台物理服务器,但建议在生产环境中分开部署以提高性能):
- RD 连接代理:负责负载均衡和会话重连。
- RD Web 访问:提供基于浏览器的访问入口。
- RD 会话主机:这是核心角色,实际运行用户会话和应用程序。必须安装此项。
- RD 授权:管理和分发RDS CAL。必须配置。
确认并安装:确认选择,然后点击“安装”。系统可能会要求重启。
阶段三:配置RD授权服务器(关键步骤,避免120天后连接中断)
安装后,打开“服务器管理器” >
远程桌面服务 >
概述。
找到“RD授权”服务器,右键点击,选择
“RD授权管理器”。
激活许可证服务器:
- 右键点击你的服务器,选择 “激活服务器”。
- 按照向导操作,连接到微软的激活服务器(需互联网连接)。
安装RDS CAL许可证包:
- 在激活的服务器下,右键点击 “安装许可证”。
- 选择你购买的许可证计划(如:企业协议)、产品版本(RDS 2019 Per User 或 Per Device)、数量和许可证密钥。
- 完成后,在“RD会话主机”属性中指定此授权服务器。
**阶段四:配置RD会话主机
用户和权限:
- 将需要远程登录的标准域用户(非管理员)添加到 “Remote Desktop Users” 本地组中。
计算机管理 > 本地用户和组 > 组 > Remote Desktop Users > 添加成员。
会话限制(可选但建议):
- 打开 “远程桌面服务” > “集合”(如果创建了集合)或直接配置服务器。
- 右键点击你的会话集合或服务器,选择 “属性”。
- 在 “会话”、“常规” 等选项卡中,可以设置:
- 单个会话的最大连接时间、空闲超时。
- 是否允许用户只运行一个会话。
- 重新连接已断开会话的设置。
应用发布:如果需要发布特定应用程序而非完整桌面,可以在“远程桌面服务”中创建“RemoteApp程序”,并将其发布到RD Web访问。
阶段五:客户端连接
用户可以通过几种方式连接:
- 传统远程桌面客户端:使用
mstsc.exe,输入服务器地址。
- RD Web访问:在浏览器中输入
https://<服务器名或IP>/RDWeb,使用域凭据登录后访问发布的桌面或应用。
- 远程桌面APP:从微软商店下载“远程桌面”应用,添加工作区(RD Web访问地址)。
重要注意事项
授权合规性:方案二
必须在180天宽限期内完成RD授权服务器的配置和CAL安装,否则超过期限后,用户将无法连接到RD会话主机。
性能监控:使用
任务管理器的“用户”选项卡或
“性能监视器” 中的RDS相关计数器监控服务器负载。
安全加固:
- 使用网络级别身份验证。
- 考虑更改默认的RDP端口(3389)以降低扫描风险(需修改注册表并调整防火墙)。
- 使用防火墙限制可访问RDP端口的源IP范围。
- 启用账号锁定策略防止暴力破解。
生产环境建议:对于正式生产环境,建议将各RDS角色(连接代理、Web访问、会话主机、授权)部署在不同的服务器上,以提高可用性和可扩展性。
总结流程图
启用多用户RDS:
1. 计划授权(购买RDS CAL) --> 2. 添加RDS角色(会话主机必选) --> 3. 激活并配置RD授权服务器 --> 4. 添加用户到Remote Desktop Users组 --> 5. 配置会话限制与安全策略 --> 6. 客户端通过RDP或RD Web连接
对于测试或学习环境,你可以使用方案二但暂时不激活授权,有120天的宽限期。但务必理解其中的授权要求,以避免合规风险。
