本文提供有关跨域、林或工作组设置远程桌面(RD)许可的可支持性(或推荐方法)的问题的信息。
原始 KB 数: 2473823
注意
在 Windows Server 2008 R2 中,终端服务重命名为远程桌面服务(RDS)。
问题
RD 许可服务器是否可以在以下任一条件下向连接到 RD 会话主机(终端服务器)服务器的用户或设备颁发客户端访问许可证(CAL) ?
- RD 会话主机服务器位于Active Directory 域中,RD 许可服务器位于工作组环境中。
- RD 会话主机服务器位于工作组中,RD 授权服务器位于Active Directory 域中。
- RD 会话主机服务器和 RD 许可服务器位于不同的林中。 这些森林之间不存在信任关系(单向信任或双向信任)。
- RD 会话主机服务器和 RD 许可服务器位于同一个工作组中。
答案
为了每设备和每用户 CAL 的颁发正常工作,RD 会话主机和 RD 许可服务器必须遵循以下三种配置中的一种:
- 两者都在同一个工作组
- 同一域中的两者
- 两者都位于受信任的(双向信任)Active Directory 域或林中
下面是有关这些方案的详细信息:
RD 会话主机和 RD 许可服务器位于同一个工作组中
在工作组环境中配置 RDS 和 RD 许可服务器时,请考虑以下几点:
- 我们只能在工作组环境中使用按设备的 CAL。 因此,应仅在 RD 许可服务器上安装每个设备 CAL。
- 工作组模式不支持按用户 CAL 跟踪和报告。
- RD 会话主机和 RD 许可服务器角色都可以安装在同一台服务器上。
- 如果在工作组中的其他服务器上安装 RD 许可服务器,请确保 RDS 服务器能够访问 RD 许可服务器。
在 Windows 2008 R2 中,RD 会话主机服务器不再支持自动发现许可证服务器。 必须通过使用远程桌面会话主机配置管理单元为 RD 会话主机服务器指定一个许可证服务器名称。 有关详细信息,请参阅 为 RD 会话主机服务器指定使用的许可证服务器。
RD 会话主机和 RD 许可服务器位于同一域中
在 Active Directory 域方案中,我们可以在同一服务器或不同服务器上拥有 RD 会话主机和 RD 许可服务器。 在域方案中配置 RDS 环境时,请考虑以下几点:
可以在远程桌面授权服务器上同时安装“按设备”和“按用户”两种 CAL。
许可证服务器的计算机帐户必须是 AD DS 中终端服务器许可证服务器组的成员。 如果许可证服务器安装在域控制器上,则网络服务帐户还必须是终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RD 会话主机服务器添加到 RD 许可服务器上的终端服务器计算机组中,然后在 RD 许可服务器上启用许可证服务器安全组策略设置。
许可证服务器安全组策略设置位于计算机配置\策略\管理模板\Windows 组件\远程 \RD 许可中,可以使用本地组策略编辑器或组控制台(GPMC)进行配置。
RD 会话主机服务器位于一个域/林中,RD 许可服务器位于另一个域/林中
在这种情况下,应考虑以下几点:
这些域/林之间应存在双向信任。 它可以是林信任或外部信任。
所有必需的端口都应在防火墙上打开。 如果对需要打开的端口有任何疑问,请参阅 Windows 的服务概述和网络端口要求。
若要向其他域中的用户颁发 RDS Per User CAL,域之间必须有双向信任,并且许可证服务器必须是这些域中终端服务器许可证服务器组的成员。
若要限制 RDS CAL 的颁发,可以将 RD 会话主机服务器添加到 RD 许可服务器上的终端服务器计算机组中。
在每个域/林中的所有 RD 会话主机服务器上配置 RD 许可证服务器。 可以通过组策略完成此操作。
在 RD 许可服务器的本地管理员中添加每个域/林的管理员组。 这样,当你在受信任的域/林中打开 RD 会话主机配置管理单元时,不会收到要求输入凭据的提示。
数据收集
如果您需要 Microsoft 支持方面的帮助,我们建议您按照使用 TSS 收集用户体验问题信息的步骤来收集信息。