將Windows Server部署為應用伺服器 - Bastionhost

應用伺服器用於安裝應用程式，並能通過RemoteApp服務發布應用程式。通過Bastionhost營運應用之前，您首先需要準備應用伺服器。本文以Windows Server 2019為例，為您介紹如何將Windows Server部署為應用伺服器。

Windows Server部署說明

Windows Server 2000/2003不支援RemoteApp服務。建議選擇Windows Server 2016、Windows Server 2019或Windows Server 2022版本。
Windows Server伺服器可以是物理裝置，也可以是虛擬機器。
應用營運需要依賴Windows Server遠端桌面服務，服務預設試用期為120天，試用期結束後，您需要先啟用遠端桌面授權，才能繼續使用。
警告
遠端桌面服務預設有免費使用期，到期後應用營運功能將不可用。如果您需要長期使用此服務，需要前往微軟官方購買用戶端訪問許可證（CAL），在應用發行伺服器中啟用遠端桌面授權。
用戶端訪問許可證（CAL）使用情境，請參考：
- 每裝置CAL：根據應用營運最大並發量購買RDS規格，1個營運串連佔用1規格。適用於並發進行應用營運的人員數小於營運人員總數的情境（預設推薦該類型許可，通常情況下並發營運數小於營運人員總數）。
- 每使用者CAL：根據需要使用應用營運的營運員使用者數購買RDS規格，一個使用者佔用1規格。適用於需要並發進行應用營運的人員數與營運人員總數一致的情境

應用伺服器配置推薦

配置項	1~10個並發串連	11~20個並發串連	21~50個並發串連	51~100個並發串連	100+個並發串連
CPU	4核	4核	8核	8核	16核
記憶體	8G	16G	16G	32G	64G
系統硬碟	200G	200G	300G	300G	500G

RemoteApp介紹

RemoteApp是微軟在Windows Server 2008之後，在其系統中整合的一項服務功能，使使用者可以通過遠端桌面訪問遠端的案頭與程式。在用戶端本機無須安裝系統與應用程式的情況下，也能正常使用遠端發布的各種的案頭與應用。在通過Bastionhost進行營運應用時，由於需要登入到應用伺服器並啟動伺服器上的用戶端，因此需要依賴RemoteApp。

步驟一：建立AD域

登入Windows Server 2019伺服器。
如果使用Elastic Compute Service，您可以通過多種方式串連Elastic Compute Service。關於串連方式的更多資訊，請參見ECS遠端連線方式概述。
單擊開始表徵圖，選擇伺服器管理員，在儀表板頁面，單擊添加角色和功能。
按照頁面嚮導進行操作，以下無特殊說明的請保持預設配置。
- 安裝類型：選擇基於角色或基於功能的安裝。
- 伺服器角色：選中Active Directory網域服務。
- 功能：選中.NET Framework 3.5功能和.NET Framework 4.7功能。
功能安裝成功後重啟伺服器。

步驟二：將伺服器提升為網域控制站

在儀錶版頁面，單擊將此伺服器提升為網域控制站。
按照頁面嚮導進行操作，以下如無特殊說明，保持預設配置即可。
- 部署配置：根網域名稱可任意填寫，例如example.com。
- 網域名稱控制台選項：輸入目錄服務還原模式（DSRM）密碼。密碼複雜度要求：大小寫字母、數字和符號組合。
- DNS選項：忽略提示單擊下一頁。
安裝成功後重啟伺服器。重啟後查看當前伺服器是否在域中。

步驟三：安裝遠端桌面服務

使用域帳號或Administrator登入伺服器。
域為example.com，則域帳號為example，登入密碼和Administrator賬戶一致。
單擊開始表徵圖，選擇伺服器管理員，在儀表板頁面，單擊添加角色和功能。
按照頁面嚮導進行操作，以下如無特殊說明，保持預設配置即可。
- 伺服器角色：選中案頭服務。
- 角色服務：選中遠端桌面工作階段主機（Remote Desktop Session Host）和遠端桌面授權。
- 確認：選中如果需要，自動重新啟動目標伺服器。

步驟四：安裝RemoteAPP服務

使用域帳號或Administrator登入伺服器。
域為example.com，則域帳號為example，登入密碼和Administrator賬戶一致。
單擊開始表徵圖，選擇伺服器管理員，在儀表板頁面，單擊添加角色和功能。
按照頁面嚮導進行操作，以下如無特殊說明，保持預設配置即可。
- 安裝類型：選擇遠端桌面服務安裝。
- 部署類型：選擇快速啟動。
- 部署方案：選擇工作階段型桌面部署。
- 伺服器選擇：選擇目標伺服器，單擊下一頁。
  如果出現相容性報錯，在Windows PowerShell（管理員）中執行Enable-PSRemoting命令，執行完成後再次回到選擇伺服器頁面單擊下一頁。
- 確認：勾選需要時自動重新啟動目標伺服器（R）。
- 部署成功如下圖所示：

步驟五：調整應用伺服器策略

調整本機群組策略

開啟運行對話方塊，輸入gpedit.msc。
在電腦配置 > 系統管理範本 > Windows組件 > 遠端桌面服務 > 遠端桌面工作階段主機頁面，配置遠端桌面工作階段主機串連和會話時間。
1. 串連設定
  - 允許使用者通過遠端桌面服務進行遠端連線：設定為已啟用。
  - 限制串連數量：設定已啟用，輸入允許的RD最大串連數999999。
  - 將遠端桌面服務使用者限制到單獨的遠端桌面服務會話：設定為已禁用。
  - 允許遠程啟動未列出的程式：設定已啟用。
2. 會話時間設定
  設定已中止會話的時間限制：設定已啟用，結束已中斷連線的會話為1分鐘。

屏蔽IE地址欄

開啟運行對話方塊，輸入gpedit.msc。
在電腦配置 > 系統管理範本 > Windows組件 > Internet Explorer頁面，將強制使用全螢幕模式設定為已啟用。
設定完成之後，可以開啟IE瀏覽器檢查一下效果，IE瀏覽器如果沒有顯示地址表示限制成功。

關閉Windows防火牆

在控制台 > 系統和安全 > Windows Defender 防火牆 > 自訂設定頁面，關閉防火牆。

關閉IE增強安全配置

單擊開始表徵圖，選擇伺服器管理員。
在左側導覽列，單擊本機伺服器，關閉IE增強安全配置。

設定RD授權模式

單擊開始表徵圖，選擇伺服器管理員，在遠端桌面服務頁面，雙擊RD授權。
選擇目標伺服器，單擊下一頁，根據嚮導完成剩餘操作。
返回遠端桌面服務頁面，選擇任務 > 編輯部署屬性。
將RD授權模式選擇為每裝置，並選擇遠端桌面授權伺服器，單擊應用。

開啟遠端桌面

在控制台 > 系統和安全 > 系統頁面，單擊允許遠端存取。
在遠程頁簽，選擇允許串連到此電腦，取消僅允許運行使用網路層級驗證的遠端桌面的電腦串連（建議），單擊確定。