基于RemoteApp 技术的信息化系统设计与实现

2020-07-13 07:06郭木阳
网络安全技术与应用 2020年7期
关键词:客户端部署服务器

◆郭木阳

(厦门技师学院 福建 361102)

随着互联网+的广泛应用和企业的信息交流多样化,对信息化业务应用系统提出了更高的应用需求。本文通过对微软虚拟桌面服务组件RemoteApp 技术的研究,将企业各类信息化系统均衡负载到服务器,提高设备资源的利用率和管理效率,同时方便企业员工能够携带自己的设备随时随地进行信息化事务处理。

1 企业信息化系统现状分析与建设目标

1.1 存在的问题

许多企业都部署了各种类型的信息化系统,供在各地分公司、连锁机构或是出差员工、在家办公员工访问内部网络资源,但在部署、维护、用户使用的过程中存在着以下系列问题:

(1)部署维护成本高。随着企业信息化交流多样化,需要部署使用各类信息化业务应用系统(如ERP、OA、进销存、财务等),相应增加了服务器等硬件设备数量,造成设备的投入和管理的成本增加。

(2)客户端管理维护麻烦。各类信息化业务应用系统大多需要在用户设备中安装客户端,安装维护更新较为麻烦。

(3)安全性相对差。各类信息化系统直接将服务端口发布到Ⅰnternet,供给远程的客户端或WEB 浏览器接入,同时也将服务器暴露在外网,容易受到攻击。

1.2 系统建设目标

针对存在的问题,建设一个低部署及运维成本、简单易用、高效安全的基于RemoteApp 技术的信息化系统。

(1)降低部署运维成本。将单台物理服务器托管到电信机房,减少机房建设与维护管理费用;并使用虚拟化技术将各类信息化系统整合到多台虚拟服务器中,实现对设备资源的高效利用及维护管理,降低部署及维护成本。

(2)方便用户使用。用户能够携带自己的设备(个人计算机、手机、平板电脑等),在任何时间、地点通过Ⅰnternet 登录虚拟桌面,处理企业内部信息化相关业务。

(3)高效安全。通过虚拟化对信息化业务应用系统客户端统一部署,集中管理。采用网络级身份验证,只有允许的用户设备才能进行连接,验证身份要求后才能访问对应的权限的资源。

2 RemoteApp 虚拟化技术介绍

RemoteApp 技术是一项应用广泛、成熟的微软展示层虚拟化技术,RemoteApp 结合远程桌面Web 访问、远程桌面授权、远程桌面网关等微软远程桌面服务角色,可以使用户远程访问程序。RemoteApp 程序与用户端的桌面集成一起,用户端无须安装应用程序,就能在本地设备上运行远端服务器发布的各种应用。

2.1 基于RemoteApp 技术远程桌面虚拟化系统特点:

(1)用户不需整个远程桌面系统,就可以在自己的设备打开运行在RD 会话主机(远程服务器)上发布到RemoteApp 中的程序(信息化系统客户端);而且用户端设备只是显示程序运行的窗口,程序就像运行在本地设备一样。

(2)管理员可以将基于Windows 的程序或信息化系统客户端直接部署在RD 会话主机服务器上并发布成RemoteApp 程序,用户即可使用且无须安装维护程序(客户端)。

2.2 RemoteApp 组件服务结构

在Windows Server 2016 中,RemoteApp 组件与微软虚拟桌面服务角色的联系如图1 所示。

图1 微软虚拟桌面服务角色及联系图

(1)用户端。在用户端,用户可以从不同类型个人终端设备通过使用Web 浏览器登录“RD Web 访问”或使用“RemoteAPP 和桌面连接”访问RemoteApp 程序。用户端仅仅是键盘、鼠标及屏幕信息的传递,宽带占用极少,就如同在本地运行程序一样。

(2)RD 网关:RD 网关封装了基于HTTPS 的RDP,使得用户不用建立VPN 连接,授权的Ⅰnternet 用户也可以与内部网络的RD服务器建立SSL 连接。

(3)RD Web 访问:RD Web 访问使用户端运行RD 会话主机上的RemoteApp 的程序,除了可以通过Web 浏览器访问,还是可以通过运行“RemoteApp 和桌面连接”访问。

(4)RD 授权:RD 授权负责管理用户、设备与RD 服务器连接的远程桌面服务客户端访问许可(RDS CAL),当用户端连接RD会话主机时,RD 会话主机代表用户端向RD 授权服务器请求RDS CAL,用户端只有获得适合的RDS CAL,该用户端才能连接到RD会话主机。

(5)网络级身份验证:网络级身份验证避免非法连接或恶意软件的攻击,提高了安全性。当用户与RD 会话主机建立连接前,先验证用户端设备是否安装并信任根证书,再通过域控制器验证用户的身份;如果验证通过,客户端还得获取RD 授权服务器适合的RDS CAL,才能使用在该域内相应的用户组具有的访问权限及资源。

(6)RD 连接代理:RD 连接代理负责均匀分配连接到RD 会话主机中的会话负载和支持会话的重新连接。

(7)RD 会话主机:在RD 会话主机中将基于Windows 的程序(企业信息化业务应用系统的客户端)发布成RemoteApp 应用程序,并提供给远程用户运行或保存文件等。

3 基于RemoteApp 的信息化系统设计部署

3.1 基于RemoteApp 的信息化系统概述

根据上述建设目标,在微软Hyper-V 虚拟化服务器集群基础上部署信息化业务应用系统,应用微软RemoteApp 技术将信息化业务应用系统客户端发布成RemoteApp 程序,用户远程访问RD 会话主机发布的RemoteApp 程序,就如在本地设备运行信息化系统客户端一样。该方案的系统拓扑结构,如图2 所示。

图2 系统拓扑结构图

该方案使用单台2U 机架式物理机作为Hyper-V 主机,并配置远程管理。配置磁盘RAⅠD 时划分两个逻辑卷,第一个卷安装Windows Server 2016 并添加Hyper-V 组件,作为Hyper-V 主机;第二个卷保存数据(如在Hyper-V 主机中创建的虚拟机或其他数据)。系统的前端是采用硬件防火墙(路由器),一是通过路由器进行端口映射远程管理物理机,二是通过防火墙发布RD Web 访问站点。

3.2 安全授权服务部署

VM1 主要做如下两项安全授权服务部署:

(1)主域控制器服务:用来创建管理用户和用户组、设定内部资源分配权限,用户身份认证;同时要求将Hyper-V 主机、RD主机等虚拟机加入Active Directory 中进行管理。

(2)RD 授权服务:添加基于角色的安装,选择VM1 作为RD授权服务器,添加远程桌面会话主机服务器角色。

VM2 主要做如下两项安全授权服务部署:

(1)辅助域控制器服务:一旦主域控制器出现故障,则接管活动目录的工作,保证用户能正常登录和访问资源。

(2)CA 证书服务:安装标准证书服务,为用户端颁发安全加密证书,保证用户端与RD 服务器之间的建立SSL 连接通信。

3.3 基于会话的部署

VM3(rd.xxx.com)是在Windows Server 2016 上部署RD Web访问、RD 连接代理、RD 会话主机等基于会话服务角色,同时也部署企业信息化系统客户端。围绕微软远程桌面各角色组成关系做如下部署:

(1)添加RD 授权主机:指定VM1 作为RD 授权服务器。

(2)配置RD 网关服务器:将用户端访问RD 会话主机的域名rd.xxx.com 添加到RD 网关中,并命名自签名SSL 证书。

(3)配置证书下载服务:从证书服务器(VM2)中申请一个“服务器证书”供用户端下载安装和信任,满足用户端能够通过SSL 连接与RD 会话主机通信。

(4)配置部署:配置RD 网关,指定登录服务和登录方法;配置RD 授权角色,使得RD 会话主机能够向VM1(授权服务器)发送验证用户访问授权请求;配置RD Web 访问,指定RD Web 访问及用户登录RD 会话主机的URL(https://rd.xxx.com/rdweb)等。确认RD 连接代理、RD Web 访问、RD 网关等角色服务受信任所申请的证书,以满足服务器身份验证、单一登录和建立SSL 连接。

(5)创建会话集:添加具有访问权限域用户组到该会话集,并指定用户配置文件磁盘,实现不同用户组访问不同的会话集。

(6)发布RemoteApp 应用程序:将RD 会话主机中已安装企业信息化业务系统客户端(如ⅠE、进销存、ERP 等客户端)或“远程桌面连接”添加到会话集中。

3.4 配置远程访问

用户端从Ⅰnternet 连接RD Web 访问站点,还需要复查RD 网关SSL 证书及使用SSL 桥接;并在防火墙中发布Ⅰnternet 上的用户端对RD 会话主机的SSL RD Web 访问站点,将URL 转发到内部网络的RD 会话主机中。

3.4 用户连接远程桌面

初次访问RD 会话主机的用户或设备,必须登录RD 会话主机(https://rd.xxx.com/ca)下载并信任根证书。对于不同类型的用户端设备系统,用户访问企业内部信息化系统,主要有两种方式:

(1)非windows 系统用户端。只能使用浏览器登录站点https://rd.xxx.com/rdweb 访问发布的RemoteApp 应用程序。

(2)windows 系统用户端。除了可以使用浏览器登录站点外,还可以通过“RemoteApp 和桌面连接”,连接到RD 连接代理服务,访问发布的RemoteApp 程序。

用户端通过Ⅰnternet 连接到RD 会话主机,访问发布的

RemoteApp 程序(企业信息化系统客户端),RD 会话主机上运行的企业信息化业务系统客户端程序窗口会显示在用户使用的设备屏幕上,用户使用键盘、鼠标即可根据屏幕显示的进行信息化系统办公,就如同信息化系统客户端程序运行在用户端设备一样。

4 结语

本文应用RemoteApp 技术对信息化业务应用系统客户端软件进行虚拟化设计部署,并将企业信息化业务应用系统部署在虚拟机上进行统一管理,降低了设备购置和维护成本,提高了系统的管理效率以及安全性,方便用户使用个人设备随时随地连接到企业内部网络处理信息化事务。

猜你喜欢
客户端部署服务器
你的手机安装了多少个客户端
你的手机安装了多少个客户端
“人民网+客户端”推出数据新闻
——稳就业、惠民生,“数”读十年成绩单
一种基于Kubernetes的Web应用部署与配置系统
晋城:安排部署 统防统治
服务器组功能的使用
理解Horizon 连接服务器、安全服务器的配置
部署
PowerTCP Server Tool
部署“萨德”意欲何为?