跨 Active Directory 域/林或工作组设置 RDS 许可的最佳做法
本文提供有关跨域、林或工作组设置远程桌面 (RD) 许可的可支持性) (或建议方法的问题的信息。
适用于: Windows Server 2008 R2 Service Pack 1
原始 KB 编号: 2473823
注意
在 Windows Server 2008 R2 中,终端服务重命名为远程桌面服务 (RDS) 。
问题
在以下任一条件下,RD 许可服务器是否可以向连接到 RD 会话主机 (终端服务器) 服务器的用户或设备颁发客户端访问许可证 (CAL) ?
- RD 会话主机服务器位于Active Directory 域中,RD 许可服务器位于工作组环境中。
- RD 会话主机服务器位于工作组中,RD 许可服务器位于Active Directory 域中。
- RD 会话主机服务器和 RD 许可服务器位于不同的林中。 这些林之间不存在 (单向或双向信任) 的信任。
- RD 会话主机服务器和 RD 许可服务器位于同一个工作组中。
答案
若要使每台设备和每用户 CAL 颁发正常工作,RD 会话主机和 RD 许可服务器采用以下三种配置中的任何一种:
- 两者都在同一个工作组中
- 两者都在同一个域中
- 在受信任的 (双向信任) Active Directory 域或林
下面是有关这些方案的详细信息:
RDS 主机和 RDS 许可服务器位于同一个工作组中
在工作组环境中配置 RDS 和 RDS 许可服务器时,请考虑以下几点:
- 我们只能在工作组环境中使用每个设备的 CAL。 因此,应仅在 RDS 许可服务器上安装每个设备 CAL。
- 工作组模式下不支持按用户 CAL 跟踪和报告。
- RDS 主机和 RDS 许可服务器角色都可以安装在同一台服务器上。
- 如果在工作组中的其他服务器上安装 RDS 许可服务器,请确保 RDS 服务器能够访问 RDS 许可服务器。
在 Windows 2008 R2 中,RD 会话主机服务器不再支持自动许可证服务器发现。 必须使用远程桌面会话主机配置管理单元指定 RD 会话主机服务器要使用的许可证服务器的名称。 有关详细信息,请参阅指定要使用的 RD 会话主机服务器的许可证服务器。
RDS 主机和 RDS 许可服务器位于同一域中
在Active Directory 域方案中,我们可以在同一服务器或不同服务器上拥有 RDS 主机和 RDS 许可服务器。 在域方案中配置 RDS 环境时,请考虑以下几点:
可以在 RDS 许可服务器上安装每设备 (和每用户) CAL。
许可证服务器的计算机帐户必须是 AD DS 中终端服务器许可证服务器组的成员。 如果许可证服务器安装在域控制器上,则网络服务帐户还必须是终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RDS 主机服务器添加到 RDS 许可服务器上的终端服务器计算机组中,然后在 RDS 许可服务器上启用许可证服务器安全组策略设置。
许可证服务器安全组策略设置位于计算机配置\策略\管理模板\Windows 组件\远程 \RD 许可中,可以使用本地组策略 编辑器或组控制台 (GPMC) 进行配置。
RDS 主机服务器位于一个域/林中,RDS 许可服务器位于另一个域/林中
在这种情况下,应考虑以下几点:
这些域/林之间应存在双向信任。 它可以是林信任或外部信任。
应在防火墙上打开所有必需的端口。 如果对需要打开的端口有任何疑问,请参阅 Windows 的服务概述和网络端口要求。
若要向其他域中的用户颁发 RDS Per User CAL,域之间必须具有双向信任,并且许可证服务器必须是这些域中终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RDS 主机服务器添加到 RDS 许可服务器上的终端服务器计算机组中。
在每个域/林中的所有 RDS 主机服务器上配置 RDS 许可服务器。 可以通过 RDS 主机配置管理单元或通过组策略执行此操作。
在 RDS 许可服务器的本地管理员中添加每个域/林的管理员组。 这样,在受信任的域/林中打开 RDS 主机配置管理单元时,不会收到输入凭据的提示。
数据收集
如果需要 Microsoft 支持方面的帮助,建议按照 使用 TSS 收集用户体验问题中的信息中所述的步骤收集信息。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈