--04 使用远程桌面Web访问部署【个人虚拟桌面】循序渐进指南new

使用远程桌面Web访问部署个人虚拟桌面循序渐进指南
关于本指南
本循序渐进指南将向您介绍在测试环境中使用远程桌面W eb访问（RD Web Access）功能创建个人虚拟桌面的步骤。

通过这些步骤，您将创建包含下列组件的测试部署环境：
∙ 一台远程桌面虚拟化宿主（RDVirtualization Host）服务器
∙ 一台远程桌面连接Broker（RDConnection Broker）服务器
∙ 一台使用重定向模式的远程桌面会话主机（RD Session Host）服务器
∙ 一台远程桌面Web访问（RDWeb Access）服务器
∙ 一台被配置为个人虚拟桌面的虚拟机
本指南将假设您已经完成了安装远程桌面会话主机循序渐进指南
（/fwlink/?LinkId=147292）中的步骤，并且已经部署了下列组件：
∙ 一台RD会话主机服务器
∙ 一台远程桌面连接客户端计算机
∙ 一台Active Directory域服务域控制器
在完成本指南中列出的步骤后，您将能够：
∙ 在CONSOTO域中安装必要的服务器。

∙ 安装并配置用作个人虚拟桌面的虚拟机。

∙ 配置个人虚拟桌面。

∙ 验证个人虚拟桌面可以正常工作。

个人虚拟桌面的主要用途是为用户提供专用的虚拟桌面。

本指南未能提供的内容
本指南并未提供下列内容：
∙ 远程桌面服务概述。

∙ 设置Active Directory域服务或RD会话主机的指导。

该话题的详细信息可参考安装远程桌面会话主机循序渐进指南（/fwlink/?LinkId=147292）。

要获取该文档的可下载版本，可访问Microsoft下载中心网站的安装远程桌面会话主机循序渐进指南
（/fwlink/?LinkId=147293）页面。

重要
如果您曾在安装远程桌面会话主机循序渐进指南中配置过计算机，则需要在新环境中
完成本指南列出的步骤。

∙ 安装和配额制虚拟桌面池的指导。

这些信息可参考使用远程桌面Web访问部署虚拟桌面池循序渐进指南（/fwlink/?LinkId=147906），要获取该文档的可下载版本，可访问Microsoft下载中心网站的使用远程桌面Web访问部署虚拟桌面池循序渐进指南
（/fwlink/?LinkId=147907）页面。

∙ 导入个人虚拟桌面数字签名所需证书的指导。

∙ 在生产环境中创建和配置个人虚拟桌面的指导。

∙ 远程桌面服务的完整技术参考。

技术回顾
承载于RD虚拟化主机服务器上的虚拟机可分配给Active Directory域服务（ADDS）中的用户帐户，充当其个人虚拟桌面，而用户可以使用RemoteApp和桌面连接技术，或使用RD Web访问的方式
进行访问。

为ADDS中的用户分配个人虚拟桌面时，需要考虑下列问题：
∙ 要部署个人虚拟桌面，您的Active Directory林架构必须至少为Windows Server 2008。

要使用Active Directory用户和计算机控制台中“用户帐户属性”对话框内，“个人虚拟桌面”选项卡下提供的额外功能，则需从运行Windows Server2008 R2，或运行Windows 7并安装了远程服务器管理工具（RSAT）的计算机上运行Active Directory用户和计算机控制台。

∙ 域功能级别必须至少为Windows 2000 Server纯模式，Windows 2000 Server混合模式以及Windows Server 2003临时模式不被支持。

∙ 确保RDVH-SRV计算机满足Hyper-V安装需求
（/fwlink/?LinkId=122183）。

∙ 用户帐户和虚拟机必须属于Active Directory域成员。

∙ 个人虚拟桌面只能使用Windows客户端操作系统，无法在虚拟机中安装Windows Server®2008R2并将其分配为个人虚拟桌面。

∙ 一位用户在同一时间内只能分配一套个人虚拟桌面。

∙ 同一台虚拟机在同一时间内只能分配充当一个用户的个人虚拟桌面。

∙ Hyper-V管理器工具中虚拟机的名称必须与计算机的完全合格域名（FQDN）相匹配。

重要
虚拟机不应属于虚拟桌面池的成员，才能分配给用户作为个人虚拟桌面。

用户可通过下列方式连接到个人虚拟桌面。

1. 用户使用RD Web访问或使用RemoteApp和桌面连接的方式发起到个人虚拟桌面的连接。

2. 请求被发往处于重定向模式下的RD会话主机服务器。

3. 运行于重定向模式的RD会话主机服务器将请求转发到RD连接Broker服务器。

4. RD连接Broker服务器查询Active Directory域服务，并检索分配给发起请求的用户帐户的虚
拟机的名称。

5. RD连接Broker服务器机器能够请求发往RD虚拟化主机服务器，以启动虚拟机。

6. RD虚拟化主机服务器将完全合格域名的IP地址返回给RD连接Broker服务器，RD连接
Broker服务器随后会将此信息发往重定向模式的RD会话主机服务器。

7. 运行于重定向模式的RD会话主机服务器将请求重定向到发起该连接的客户端计算机。

8. 客户端计算机连接到个人虚拟桌面。

场景：通过在测试环境使用RD Web访问部署个人虚
拟桌面
我们建议您首先在测试环境中使用本指南提供的操作步骤。

按照本意，并不应该在不参考其他部署
文档的情况下，只借助循序渐进指南部署Windows Server®功能，并且要将本指南作为唯一参考
文档进行使用也必须慎重。

当完成本循序渐进指南的内容后，您就为用户帐户准备好了个人虚拟桌面，并可使用RD Web访
问功能进行访问。

随后可作为标准用户通过RD Web访问功能访问个人虚拟桌面，以验证功能。

本指南描述的测试环境包含七台连接到专用网络的计算机，并分别安装了下列操作系统、应用程序，以及服务：
所有计算机都位于一个专用网络中，并通过普通的集线器或二层交换机连接在一起。

本循序渐进练
习使用了符合测试实验室配置的专用网络，该专用网络的网络ID为10.0.0.0/24，其中有一台针对域的，名为CONTOSO-DC的域控制器。

下图展示了测试环境的配置情况。

第1步：安装和配置虚拟机
在这一步中，您将安装并配置用作个人虚拟桌面的虚拟机。

在设置相应的计算机名、操作系统，以及网络设置时，可参考下表列出的内容，并且要完成本指南列出的步骤，也必须使用下列设置。

安装个人虚拟桌面计算机（PVD1-CLNT）
要配置充当个人虚拟桌面的虚拟机，必须在虚拟机中安装Windows 7，配置TCP/IP属性，并将虚拟机加入到域。

要在虚拟机中安装Windows 7
1. 作为CONTOSO\Administrator登录到RDVH-SRV。

2. 将Windows 7产品安装光盘放入RDVH-SRV服务器的DVD光驱中。

3. 打开Hyper-V管理器。

要打开Hyper-V管理器，请单击“开始”，指向“管理工具”，然
后单击“Hyper-V Manager”。

4. 右键单击“RDVH-SRV”，指向“新建”，然后单击“虚拟机”。

5. 在“开始之前”页面上，单击“下一步”。

6. 在“名称”框中，输入“”，然后单击“下一步”。

7. 在“分配内存”页面上，单击“下一步”。

8. 在“配置网络”页面上的“连接”框中，选择包含域中其他计算机的专用网
络，然后单击“下一步”。

9. 在“连接虚拟磁盘”页面的“名称”框中，输入“”，在“大
小”框中输入“30”，然后单击“下一步”。

10. 在“安装选项”页面上，单击“从可引导CD/DVD-ROM驱动器安装操作系统”。

11. 在“物理CD/DVD驱动器”框中，选择包含Windows 7产品光盘的DVD驱动器，然后单
击“下一步”。

12. 在“完成虚拟机向导”页面上，复查所有安装选项，然后单击“完成”。

13. 在“虚拟机”区域中，右键单击“”，然后选择“连接”。

14. 在“操作”菜单中，单击“启动”以开始安装Windows 7。

15. 在安装虚拟机的过程中，指定该计算机的名称为“pvd1-clnt”。

随后需要配置TCP/IP属性，这样PVD1-CLNT才能使用静态IP地址10.0.0.9，另外还应将CONTOSO-DC（10.0.0.1）配置为DNS服务器。

要配置TCP/IP属性
1. 使用本地Administrators组帐户登录到PVD1-CLNT。

2. 单击“开始”，单击“控制面板”，单击“网络和Internet”，单击“网络和共享中
心”。

3. 单击“更改适配器设置”，右键单击“本地连接”，然后单击“属性”。

4. 在“网络”选项卡下，单击“Internet协议版本4（TCP/IPv4）”，然后单击“属性”。

5. 单击“使用下列IP地址”，在“IP地址”框中输入“10.0.0.9”，在“子网掩码”框中输
入“255.255.255.0”，在“默认网关”框中输入“10.0.0.1”。

6. 单击“使用下列DNS服务器地址”，在“首选DNS服务器”框中输入“10.0.0.1”。

7. 单击“确定”，然后关闭“本地连接属性”对话框。

最后，需要将PVD1-CLNT加入域。

要将PVD1-CLNT加入域
1. 单击“开始”，右键单击“计算机”，然后单击“属性”。

2. 在“计算机名称、域和工作组设置”下，单击“更改设置”。

3. 在“计算机名”选项卡下，单击“更改”。

4. 在“计算机名/域更改”对话框中，“隶属于”选项下，单击“域”，然后输入
“”。

5. 单击“其他”，在“此计算机的主DNS后缀”框中输入“”。

6. 单击“确定”，然后再次单击“确定”。

7. 当“计算机名/域更改”对话框要求提供管理员凭据时，请提供CONTOSO\Administrator
的凭据，然后单击“确定”。

8. 当“计算机名/域更改”对话框显示欢迎加入域的信息后，单击“确定”。

9. 当“计算机名/域更改”对话框要求重启动计算机时，单击“确定”，然后单击“关闭”。

10. 单击“立刻重启动”。

为远程桌面服务配置虚拟机
要配置虚拟机可使用Windows PowerShell。

如果希望手工配置该虚拟机，则可参考本文档的附件A：手工配置虚拟机。

或者参见 03使用远程桌面WEB访问部署虚拟机池。

Windows PowerShell脚本可在虚拟机中执行下列操作：
∙ 启用远程桌面
∙ 启用远程过程调用（RPC）
∙ 添加所选用户到Remote Desktop Users组
∙ 为添RD虚拟化主机服务器添加相应的RDP-TCP监听器权限
∙ 为远程桌面服务添加Windows防火墙例外
∙ 为远程服务管理添加Windows防火墙例外
∙ 重启动Remote Desktop Services服务
该脚本可从Microsoft TechNet脚本中心（/fwlink/?LinkId=184804）下载。

要配置虚拟机，请在Windows PowerShell提示符下输入下列命令：
1. “Set-ExecutionPolicyremotesigned –force”，然后按下回车键。

2. “Configure-VirtualMachine.ps1 –RDVHostcontoso\rdvh-srv –
RDUserscontoso\mskinner”，然后按下回车键。

注意：如果不利用PowerShell配置，则可以参考“使用远程桌面 Web 访问部署虚拟机池循序渐进指南”文档中的客户端配置方法。

第2步：配置个人虚拟桌面
在本步骤中，您将配置个人虚拟桌面。

为此，需要执行下列操作：
要在RDCB-SRV上配置个人虚拟桌面
1. 作为CONTOSO\Administrator登录到RDCB-SRV。

2. 单击“开始”，指向“管理工具”，指向“远程桌面服务”，然后单击“远程桌面连接管
理器”。

3. 在操作窗格中单击“配置虚拟桌面向导”。

4. 在“开始之前”页面上，单击“下一步”。

5. 在“选择RD 虚拟化主机服务器”页面的“服务器名称”框中，输入“rdvh-srv ”，单击
“添加”，然后单击“下一步”。

6. 在“配置重定向设置”页面上的“服务器名称”框中，输入“rdvh-srv ”，然后单击“下
一步”。

7. 在“指定RD Web 访问服务器”页面上，单击“下一步”。

8. 在“确认变动”页面上，单击“应用”。

9. 确保选中了“分配个人虚拟桌面”选项，然后单击“完成”。

10. 在“分配个人虚拟桌面”页面上，单击“选择用户”。

11. 在“输入对象名称以选择”框中，输入“contoso\mskinner ”，然后单击“确定”。

12. 在“虚拟机”框中，单击“ ”，然后单击“确定”。

13. 确认“用户名”和“虚拟机”框显示了正确的内容，然后单击“分配”。

14. 反选“向其他用户分配其他虚拟机”选项，然后单击“完成”。

第3步：验证个人虚拟桌面工作正常
要验证个人虚拟桌面环境的功能正常，您需要以Morgan Skinner登录，并使用远程桌面Web访问（RD Web Access）方式连接到个人虚拟桌面。

要连接到个人虚拟桌面
1. 作为Morgan Skinner（CONTOSO\mskinner）登录到CONTOSO-CLNT。

2. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。

3. 在地址栏中输入“https:///RDWeb”，然后按下回车键。

4. 单击“继续浏览此网站（不推荐）”。

重要
本指南为RD Web访问服务器使用了自签名证书，但生产环境中不建议使用自签
名证书。

如果要在生产环境中部署RD Web访问服务器，应当使用来自可信证书
颁发机构的证书。

5. 在“域\用户名”框中，输入“CONTOSO\mskinner”。

6. 在“密码”框中，输入为Morgan Skinner指定的密码，然后单击“登录”。

注意
如果收到消息询问是否要安装“Microsoft远程桌面服务Web访问控件”，请单
击“运行加载项”，然后单击“运行”。

7. 单击“我的桌面”，然后单击“连接”。

8. 在被询问时，输入Morgan Skinner的凭据，然后单击“确定”。

至此已经成功部署并演示了个人虚拟桌面的功能，并使用一个简单的场景通过RD Web访问功能
创建了个人虚拟桌面。

您还可以通过额外的配置和测试，利用该环境感受个人虚拟桌面的其他功能。

附件A：手工配置虚拟机
使用上文第3步提到的Windows PowerShell脚本是本指南的建议做法，然而这些工作也可按照下
列步骤手工执行：
∙ 启用远程桌面。

∙ 将使用该虚拟机的用户帐户添加到本地Remote Desktop Users安全组。

∙ 允许远程RPC。

∙ 创建防火墙例外，以允许远程服务管理。

∙ 为RDP协议添加权限。

首先，需要启用远程桌面。

要启用远程桌面
1. 使用本地Administrators组成员帐户登录到PVD1-CLNT。

2. 单击“开始”，右键单击“计算机”，然后单击“属性”。

3. 单击“远程设置”。

4. 在“远程桌面”选项下，单击“仅允许运行使用网络级别身份验证的远程桌面的计算机连
接（更安全）”，然后单击“确定”。

随后，需要将使用该虚拟机的用户帐户添加到PVD1-CLNT的本地Remote Desktop Users安全组。

在本指南中，我们将添加Morgan Skinner。

要将Morgan Skinner添加到本地Remote Desktop Users组
1. 单击“开始”，然后单击“控制面板”。

2. 单击“系统和安全”，单击“管理工具”，然后双击“计算机管理”。

3. 展开“本地用户和组”，然后单击“组”。

4. 右键单击“Remote De sktop Users”，然后单击“添加到组”。

5. 单击“添加”，随后在“选择用户、计算机、服务帐户，或组”对话框中，输入
“contoso\mskinner”，然后单击“确定”。

6. 关闭“Remote Desktop Users属性”对话框。

接着需要在PVD1-CLNT上允许远程RPC。

要为远程桌面服务允许远程RPC
1. 使用本地Administrators组成员帐户登录到PVD1-CLNT。

2. 单击“开始”，在“搜索程序和文件”框中输入“regedit.exe”，然后按下回车键。

警告
错误修改注册表有可能导致系统严重受损。

在对注册表进行任何修改之前，应当备
份计算机上注册表的所有值。

3. 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer。

4. 双击“AllowRemoteRPC”注册表项，在“值数据”框中，输入“1”，然后单击“确
定”。

5. 关闭注册表编辑器。

接着需要启用远程服务管理的Windows防火墙例外。

要启用远程服务管理的Windows防火墙例外
1. 单击“开始”，单击“控制面板”，然后单击“系统和安全”。

2. 在“Windows防火墙”选项下，单击“允许程序通过Windows防火墙”。

3. 选中“远程服务管理”选项，然后单击“确定”。

最后还要为RDVH-SRV计算机帐户分配在PVD1-CLNT上使用RDP协议的权限，并重启动
PVD1-CLNT上的Remote Desktop Services服务。

RDVH-SRV计算机帐户需在PVD1-CLNT上
具备WINSTATION_QUERY、WINSTATION_LOGOFF，及WINSTATION_DISCONNECT权限。

要为虚拟机添加RDP协议的权限
1. 单击“开始”，指向“所有程序”，然后单击“附件”。

2. 右键单击“命令提示符”，选择“以管理员身份运行”。

3. 如果出现“用户帐户控制”对话框，请确认显示的操作正是需要的，然后单击“继续”。

4. 在命令提示符下，依次运行下列命令：
∙ wmic /node:localhost RDPERMISSIONS where TerminalName="RDP-Tcp" CALL AddAccount "contoso\rdvh-srv$",1
∙ wmic /node:localhost RDACCOUNT where "(TerminalName='RDP-Tcp' or
TerminalName='Console') and AccountName='contoso\\rdvh-srv$'" CALL
ModifyPermissions 0,1
∙ wmic /node:localhost RDACCOUNT where "(TerminalName='RDP-Tcp' or
TerminalName='Console') and AccountName='contoso\\rdvh-srv$'" CALL
ModifyPermissions 2,1
∙ wmic /node:localhost RDACCOUNT where "(TerminalName='RDP-Tcp' or
TerminalName='Console') and AccountName='contoso\\rdvh-srv$'" CALL
ModifyPermissions 9,1
∙ Net stop termservice
∙ Net start termservice
5. 注销PVD1-CLNT计算机，随后Morgan Skinner才能成功登录自己的个人虚拟桌面。