none
求助,server2016使用RemoteApp和RD网关发布应用到外网访问的一些问题! RRS feed

  • 问题

  • 在vmware虚拟化环境中,两台代理和授权高可用,两台会话主机高可用,代理配置应该是没问题的。我从外网是可以正常访问的。

    RD网关和web access---hostname: szrdwa-gw

    RD代理和授权---hostname: szrdcb-lic

    RD代理和授权---hostname: szrdcb02

    会话主机---hostname: szrdsh01

    会话主机---hostname: szrdsh02

    代理高可用---hostname: szrdcbha

    现在的情况是这样:

    我的域账户,在帐户属性中——此用户可以登陆到(所有计算机or下列计算机)登陆权限是所有计算机,登陆正常,其他同事的与我相同权限的登陆也正常。

    但是普通用户的登陆权限是指定的下列计算机,我把以上所有功能服务器的hostname都添加到了普通用户的登陆权限中,代理高可用的DNS名字也加进来了。

    1. 但是普通用户在登陆时会弹窗提示:请键入用户名和密码来连接到szrdcbha,登陆没有成功,但我把普通用户的登陆权限改成登陆到所有计算机就可以正常登陆,这是什么问题呢?

    2. 我在登陆测试时发现,用户会轮流登陆会话主机1和2,这个轮流登陆到不同会话主机的功能是启用了代理高可用后的才能实现的吗?还是只需要启用了会话主机高可用,只有一个代理也可以实现这种功能?

    3. 外网访问remoteapp发布的应用打开慢的问题,之前有人回复我关掉IPV6,我把上面所有服务器的网卡属性中的IPV6和服务里的IPV6都关掉了,有提速,但不明显,而且并不是所有用户登陆都有提速,比如我的账户登陆还是慢,但有其他同事的登陆就变快了,是否还有其它需要优化的?

    请帮忙解答,万分感谢。

    <audio controls="controls" style="display:none;"></audio>
    2020年7月13日 2:08

全部回复

  • 您好:
    0.在vmware虚拟化环境中?
    您是使用ESXI6.5还是VMWARE workstation15.5 ?

    1. 但是普通用户在登陆时会弹窗提示:请键入用户名和密码来连接到szrdcbha,登陆没有成功,但我把普通用户的登陆权限改成登陆到所有计算机就可以正常登陆,这是什么问题呢?
    那个log on的设置是需要把客户端域计算机名和客户端需要联系的相关域服务器端计算机名都添加进去的,然而外部用户通常是使用非加域的电脑访问内部RD会话主机的,即使这些非加域的计算机名添加进用户的log on中,用户也是无法使用这台非加域的电脑远程连接会话主机的,所以通常log on 设置为所有资源都能访问,然后限制用户访问哪些网络资源可以通过RD网关的RAP进行设置的。


    2."我在登陆测试时发现,用户会轮流登陆会话主机1和2,这个轮流登陆到不同会话主机的功能是启用了代理高可用后的才能实现的吗?还是只需要启用了会话主机高可用,只有一个代理也可以实现这种功能?"
    我们只需要启用了会话主机高可用,只有一个代理也可以实现这种功能.
    这是启用会话主机高可用后,通过RD连接代理进行用户会话负载均衡,通常两台会话主机设置的权重相同所以默认两台会话主机接受连接数量是相同的。




    3.通常外网用户的带宽和时延不同,所以会有登录快慢区别。
    如果您没有强制指定内外网用户都必须使用RD网关,那么通常内网域环境中的用户远程会话主机时会绕过(不经过)RDgateway .您可以在DC上分别使用有问题的账户和正常的账户远程会话主机看看,连接速度方面和外网连接有没有啥区别?

    还有您的RDCB集合属性中配置了UPD(user profile disk)了吗?通常由于每个用户的UPD大小不同,登录RD会话主机桌面时需要加载用户profile信息,所以我们使用不同的账户在相同的客户端远程同一台会话主机时也会看到RD会话主机显示桌面的给不同的两个用户的时间有所差别。

    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 


    2020年7月13日 6:51
  • 1. 我使用的是vmware vsphere6.0的环境

    2.你的意思是指用户的登陆权限,全部要改成:登陆所有计算机吗?这样的话在公司内用户就可以登陆任一台电脑了,有安全隐患,不是吗?

    3. 我并没有启用UPD,在用户最终登陆到会话主机后会产生用户配置文件,这里的UPD的作用是什么呢?

    4. 还有会话中的临时文件夹,这个的作用又是什么?  感谢!

    <audio controls="controls" style="display:none;"></audio>

    2020年7月14日 1:23
  • 您好:

    2.“你的意思是指用户的登陆权限,全部要改成:登陆所有计算机吗?”
    对的。
    “这样的话在公司内用户就可以登陆任一台电脑了,有安全隐患,不是吗?”
    是有点不安全,但内部用户可以通过在非授权登录的服务器上把需要非授权的用户组添加到拒绝远程登录和拒绝本地登录下面这两个安全策略中去。如图1
    那非授权的用户就没法登录到那些服务器了。通过这种方式能够解决用户账户logon中设置了登录所有计算机后的安全隐患问题。同时也就解决了您外部用户远程连接内部会话主机时,连接不了内部szrdcbha服务器的问题。

    3.使用UPD(user profile disk)后的,好处是用户的profile(配置文件)可被放置到另一台文件服务器上,这样就会减少会话主机C盘C:\Users的大小进而c盘大小。不然用户登录这台会话主机越多C盘就会很快满掉。


    4.有些三方软件需要存储临时的文件到每个用户或每个会话主机,这些临时文件夹在远程计算机上的用户配置文件文件夹下的Temp文件夹中创建,并使用session id命名。
    如图2在会话主机的c:\C:\Users\u1\AppData\Local\Temp\11
    临时文件夹是存放用户远程连接会话主机后一些应用或者系统应用产生的临时文件的。默认情况下注销会话,这些临时文件会被清空。


    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年7月14日 8:47
  • 好的,明白了,感谢

    还有一些问题,麻烦再帮忙解答一下,

    1. 我通过RemoteApp发布RDP程序(RemoteApp相关服务器都是server2016),打开后连接我的台式机win7,第一次连接会报错“出现了内部错误”再连一次就可以正常连接了,但是连接很慢。(当前登陆到szrdsh02)

    我直接console登陆到szrdsh02上,连接一台win7台式机,也会警告“出现了内部错误 ”且连接很慢,出现错误后再重新连接一次就可以连接了。

    Console直接登陆到szrdsh01上去连接同一台win7台式机,很快,没有任何报错。

    一是报错,二是第二次连接不报错但很慢,您知道这是什么原因吗? 感谢!

    2020年7月15日 3:04
  • 我又遇到一个问题,

    szrdsh02这台会话主机,我用console,使用RD的域管理员账户登陆进去,就显示临时账户,尝试各种方法没有解决后,我重新安装了一台szrdsh02,但重启2次后又出现同样的情况 ,这个如何 解决? 感谢!

    2020年7月15日 3:17
  • 您好:
    5."我直接console登陆到szrdsh02上,连接一台win7台式机,也会警告“出现了内部错误 ”且连接很慢,出现错误后再重新连接一次就可以连接了。
    Console直接登陆到szrdsh01上去连接同一台win7台式机,很快,没有任何报错。"
    在win7 和szrdsh02上以管理员身份运行命令提示符,并输入下面的命令看看问题是否存在?
    netsh winsock reset

    6.从您的powertrap.backup-0可知您正在使用UPD(用户配置文件磁盘)对吗?
    您把UPD放置在哪的?RDCB上还是共享存储服务器上?
    产生临时配置文件的原因很多, 您的UPD文件夹的权限设置如下图吗?我这边示例就添加了everyone,我们也可以添加指定的upd的使用用户组来替代everyone,但权限设置如图。
    不是的话您是如何设置的呢?


    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 





    2020年7月15日 9:46
  • 1. 我试过netsh winsock reset , 没用,我把两台会话主机都重装了系统,现在测试连接没有问题

    2. 我当前在用UPD配置,从szrdwa-gw上共享的文件夹,这个文件夹放在哪里没有特定要求吧?

    3. UPD配置,我是按照UPD的介绍中提到的“集合中的服务器必须拥有用户配置文件磁盘共享的完全控制权限”,所以我把RD和RemoteApp相关的几台服务器都添加到了共享权限和安全权限中,并给予了完全控制权限,我也把domain users 组添加了进来,同样给予了完全控制权限。

    但是我用域账户直接登陆到其中一台会话主机就会提示“无法登陆到你的账户”提示是临时账户,是否是因为启用了UPD?

    比较奇怪的是,比如,我用user1直接登陆(非远程 )szrdsh1不提示无法登陆到你的账户,但登陆szrdsh2就会提示,

    用user2直接登陆(非远程)szrdsh1会提示,但登陆szrdsh2就不提示。

    使用本地管理员不会提示,域管理员也同样会提示。

    感谢!


    2020年7月16日 6:01
  • 您好:
    2. 我当前在用UPD配置,从szrdwa-gw上共享的文件夹,这个文件夹放在哪里没有特定要求吧?
    通常放在与RD会话主机和RD连接代理相同的网段上,以便减少跨路由访问。

    3.您的会话主机都放在同一个集合中吗?
    建议您先停止UPD,功能然后使用有问题的账号登录会话主机看看是否仍然会产生temp的文件。如果
    禁用UPD后还有temp 的profile,我们可以参考下面的文档删除临时文件恢复正常的文件。然后再启用UPD.
    [Easy] How to fix Temporary Profile in Microsoft Windows and Microsoft Server
    https://www.itsmdaily.com/easy-how-to-fix-temporary-profile-in-microsoft-windows-and-microsoft-server/#:~:text=Why%20Windows%20loads%20Temporary%20Profile%20There%20could%20be,other%20operation%20which%20prevents%20loading%20of%20the%20profile.

    只要我们为对应的域账号配置了UPD,不管您本地登录还是远程登录会话主机都会使用UPD.
    用户配置文件磁盘受限制单个会话,这意味着如果用户登录到一个 RDS 主机,则他们无法连接到同一集合的另一个主机,并且不能在单个主机上激活多个会话。用户配置文件磁盘特定于集合,因此不能同时在不同集合的会话主机上使用。
    在szrdsh1和szrdsh2上分别配置下面的本地策略或者使用域策略。
    计算机配置\管理模板\windows组件\远程桌面服务\远程桌面会话主机\连接\
    将远程桌面服务用户限制到单独的远程桌面服务会话 启用

    User Profile Disks on Windows Server 2012 R2 / 2016 RDS
    http://woshub.com/user-profile-disks-in-windows-server-2012-r2-rds/

    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年7月18日 15:21
  • 上面的问题可能是因为启动了UPD功能吧,所以当采用本地登陆的时候会提示使用临时文件夹,

    我当前的主要问题是外网访问很慢,这个该 如何 解决,找了很多帖子,试了一些方法,但都没用。

    点击发布的app后,一直显示正在配置远程会话,要1分钟左右才能打开,我怀疑问题还是出在RD网关上面,但应该不是权限的问题,因为我最终是能登陆的。

    2020年7月20日 15:02
  • 您好:

    4.您的下面的服务器都是在相同的网段吗?
    DNS server
    DC server 
    RD网关和web access---hostname: szrdwa-gw
    RD代理和授权---hostname: szrdcb-lic
    RD代理和授权---hostname: szrdcb02
    会话主机---hostname: szrdsh01
    会话主机---hostname: szrdsh02
    UPD file server


    5.您在内网客户端远程登录会话主机也同样很慢吗?


    6.如果我们配置下面的策略在远程桌面会话主机上面,连接速度会有改变吗?

    Computer Config > Windows Settings > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections
    select RDP transport protocols  
    use both UDP and TCP 
    use only TCP 

    select network detection on the server  enabled
    use both connect time detect and continuous network detect

    这里还有个文档我们可以参考。
    https://www.vdberge.com/kennisbank/slow-rdp-performance-on-windows-2012-r2-servers-running-on-vmware/

    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年7月22日 14:47
  • Hi, 这些功能服务器都是在同一个网段的,

    只要我开启了从RD网关访问,内网和外网第一次都是慢的,

    现在问题应该是解决了,我的RD网关不能访问internet,我开放了限制后,访问速度就缩短到了30秒以内,原因是client在访问RD网关时,RD网关会连网检查自己的证书状态,因为网络不通所以检查超时后才连接上,所以才慢的

    我在组策略中使用过计算机配置—管理模版—系统—Internet通信管理—Internet通信设置—开启“关闭自动根证书更新”,然后把RD网关的internet访问禁掉,但是没用。所以现在我就开着internet访问功能 

    有一个问题我想再请教一下。

    前文中有提到过,用户需要开启其账户有登录域中所有计算机的权限,这样会带来一定的安全风险,你给的建议是在域中电脑上设置策略本地登陆,限定指定电脑只允许某个或某几个用户登陆,但是我域中有1500多台电脑,理论上是用户只允许登录自己的电脑,我该如何设置呢,一台一台的设置工作量很大,是否有脚本或方法能够自动把当前登录电脑的用户添加到本地登陆的允许列表中呢?

    感谢!

    <audio controls="controls" style="display:none;"></audio>

    2020年7月31日 1:13
  • 您好:

    方案如下:

    1.部署域用户策略添加当前登录账号到win10客户端本地的remote desktop users中。
    2.
    部署域计算机策略添加win10本地remote desktop users allow logon locally 组中,并把domain usersguest用户组去除
    细节步骤: 1.部署域用户策略添加当前登录账号到win10客户端本地的remote desktop users中。 找一组测试用户账号如u1,u2,u3,假设有台hostnamewux05的计算机仅用于u1登录。 DC上先新建logal group


    进行如图设置 member 添加为%LogonDomain%\%LogonUser%


    DC和部署策略的win10客户端命令提示符中输入gpupdate /force ,使用u1账户登录Win10客户端登录.验证u1账户已经被添加到remote desktop users组中。




    2.部署域计算机策略添加win10本地remote desktop users allow logon locally 组中,并把domain usersguest用户组去除 DC上为testcomputer组创建的GPO如下

    win10 本地未应用策略时 

    DC命令提示符中输入gpupdate /force ,必须重新启动部署策略的win10客户端 应用策略后,本管理员无法修改


    u1
    登录部署的pc时没有问题,u2及非administrators/backup operators组中的账户在登录这台win10 pc时就会有下面告。



    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年8月8日 5:57
  • 您好:
    网上查过很多方法包括脚本,花了很长时间测试,都没有效果。亲测上面原创方案有效。由于本人实验环境过于简单,建议您先用测试电脑和账户测试,根据您企业环境实际的用户组测试成功后,然后按部门分批部署以防止其他不可预期情况产生影响生产。

    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年8月8日 6:07
  • 我也是用测试环境,也很简单,我适了你的方法,确实可用,非常感谢,跟领导沟通下,用正式环境先拿一个部门测试下。:)

    1. 之前的帖子中我有咨询过你哪些角色建议配置高可用,你的建议是会话主机和代理,我本身是在vmware中,正常情况下同时在线的会话应该也就40--50吧(今年刚过完年疫情期间,同时在线的有200--300),从各角色服务器的作用上看即使同时在线会话很多,代理、网关、web access应该都不会有什么压力吧?所以除会话主机外的角色服务都使用单台会有压力吗?

    2.关于经过RD网关访问慢,我找到原因是因为我的RD网关服务器不能上外网,有帖子说到是因为程序会自动检查证书是否过期,在检查时因不能上网,一直到检查超时后才开始连接,所以慢,给RD服务器开放网络限制后,访问变快了,但还是要30-40秒,偶尔20秒左右,也有建议这样设置组策略的,如图,但好像并没太大效果,耗时相差无几,是否还有哪里可以优化的?

    感谢!

    2020年8月17日 10:00
  • 还经常会遇到一个问题是,会卡在登录会话主机这个状态 ,虽不是很频繁,但也遇到好几次了。

    2020年8月17日 13:24