基于RemoteApp 技術(shù)的信息化系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

◆郭木陽

（廈門技師學(xué)院 福建 361102）

隨著互聯(lián)網(wǎng)+的廣泛應(yīng)用和企業(yè)的信息交流多樣化，對(duì)信息化業(yè)務(wù)應(yīng)用系統(tǒng)提出了更高的應(yīng)用需求。本文通過對(duì)微軟虛擬桌面服務(wù)組件RemoteApp 技術(shù)的研究，將企業(yè)各類信息化系統(tǒng)均衡負(fù)載到服務(wù)器，提高設(shè)備資源的利用率和管理效率，同時(shí)方便企業(yè)員工能夠攜帶自己的設(shè)備隨時(shí)隨地進(jìn)行信息化事務(wù)處理。

1 企業(yè)信息化系統(tǒng)現(xiàn)狀分析與建設(shè)目標(biāo)

1.1 存在的問題

許多企業(yè)都部署了各種類型的信息化系統(tǒng)，供在各地分公司、連鎖機(jī)構(gòu)或是出差員工、在家辦公員工訪問內(nèi)部網(wǎng)絡(luò)資源，但在部署、維護(hù)、用戶使用的過程中存在著以下系列問題：

（1）部署維護(hù)成本高。隨著企業(yè)信息化交流多樣化，需要部署使用各類信息化業(yè)務(wù)應(yīng)用系統(tǒng)（如ERP、OA、進(jìn)銷存、財(cái)務(wù)等），相應(yīng)增加了服務(wù)器等硬件設(shè)備數(shù)量，造成設(shè)備的投入和管理的成本增加。

（2）客戶端管理維護(hù)麻煩。各類信息化業(yè)務(wù)應(yīng)用系統(tǒng)大多需要在用戶設(shè)備中安裝客戶端，安裝維護(hù)更新較為麻煩。

（3）安全性相對(duì)差。各類信息化系統(tǒng)直接將服務(wù)端口發(fā)布到Ⅰnternet，供給遠(yuǎn)程的客戶端或WEB 瀏覽器接入，同時(shí)也將服務(wù)器暴露在外網(wǎng)，容易受到攻擊。

1.2 系統(tǒng)建設(shè)目標(biāo)

針對(duì)存在的問題，建設(shè)一個(gè)低部署及運(yùn)維成本、簡單易用、高效安全的基于RemoteApp 技術(shù)的信息化系統(tǒng)。

（1）降低部署運(yùn)維成本。將單臺(tái)物理服務(wù)器托管到電信機(jī)房，減少機(jī)房建設(shè)與維護(hù)管理費(fèi)用；并使用虛擬化技術(shù)將各類信息化系統(tǒng)整合到多臺(tái)虛擬服務(wù)器中，實(shí)現(xiàn)對(duì)設(shè)備資源的高效利用及維護(hù)管理，降低部署及維護(hù)成本。

（2）方便用戶使用。用戶能夠攜帶自己的設(shè)備（個(gè)人計(jì)算機(jī)、手機(jī)、平板電腦等），在任何時(shí)間、地點(diǎn)通過Ⅰnternet 登錄虛擬桌面，處理企業(yè)內(nèi)部信息化相關(guān)業(yè)務(wù)。

（3）高效安全。通過虛擬化對(duì)信息化業(yè)務(wù)應(yīng)用系統(tǒng)客戶端統(tǒng)一部署，集中管理。采用網(wǎng)絡(luò)級(jí)身份驗(yàn)證，只有允許的用戶設(shè)備才能進(jìn)行連接，驗(yàn)證身份要求后才能訪問對(duì)應(yīng)的權(quán)限的資源。

2 RemoteApp 虛擬化技術(shù)介紹

RemoteApp 技術(shù)是一項(xiàng)應(yīng)用廣泛、成熟的微軟展示層虛擬化技術(shù)，RemoteApp 結(jié)合遠(yuǎn)程桌面Web 訪問、遠(yuǎn)程桌面授權(quán)、遠(yuǎn)程桌面網(wǎng)關(guān)等微軟遠(yuǎn)程桌面服務(wù)角色，可以使用戶遠(yuǎn)程訪問程序。RemoteApp 程序與用戶端的桌面集成一起，用戶端無須安裝應(yīng)用程序，就能在本地設(shè)備上運(yùn)行遠(yuǎn)端服務(wù)器發(fā)布的各種應(yīng)用。

2.1 基于RemoteApp 技術(shù)遠(yuǎn)程桌面虛擬化系統(tǒng)特點(diǎn)：

（1）用戶不需整個(gè)遠(yuǎn)程桌面系統(tǒng)，就可以在自己的設(shè)備打開運(yùn)行在RD 會(huì)話主機(jī)（遠(yuǎn)程服務(wù)器）上發(fā)布到RemoteApp 中的程序（信息化系統(tǒng)客戶端）；而且用戶端設(shè)備只是顯示程序運(yùn)行的窗口，程序就像運(yùn)行在本地設(shè)備一樣。

（2）管理員可以將基于Windows 的程序或信息化系統(tǒng)客戶端直接部署在RD 會(huì)話主機(jī)服務(wù)器上并發(fā)布成RemoteApp 程序，用戶即可使用且無須安裝維護(hù)程序（客戶端）。

2.2 RemoteApp 組件服務(wù)結(jié)構(gòu)

在Windows Server 2016 中，RemoteApp 組件與微軟虛擬桌面服務(wù)角色的聯(lián)系如圖1 所示。

圖1 微軟虛擬桌面服務(wù)角色及聯(lián)系圖

（1）用戶端。在用戶端，用戶可以從不同類型個(gè)人終端設(shè)備通過使用Web 瀏覽器登錄“RD Web 訪問”或使用“RemoteAPP 和桌面連接”訪問RemoteApp 程序。用戶端僅僅是鍵盤、鼠標(biāo)及屏幕信息的傳遞，寬帶占用極少，就如同在本地運(yùn)行程序一樣。

（2）RD 網(wǎng)關(guān)：RD 網(wǎng)關(guān)封裝了基于HTTPS 的RDP，使得用戶不用建立VPN 連接,授權(quán)的Ⅰnternet 用戶也可以與內(nèi)部網(wǎng)絡(luò)的RD服務(wù)器建立SSL 連接。

（3）RD Web 訪問：RD Web 訪問使用戶端運(yùn)行RD 會(huì)話主機(jī)上的RemoteApp 的程序，除了可以通過Web 瀏覽器訪問，還是可以通過運(yùn)行“RemoteApp 和桌面連接”訪問。

（4）RD 授權(quán)：RD 授權(quán)負(fù)責(zé)管理用戶、設(shè)備與RD 服務(wù)器連接的遠(yuǎn)程桌面服務(wù)客戶端訪問許可（RDS CAL），當(dāng)用戶端連接RD會(huì)話主機(jī)時(shí)，RD 會(huì)話主機(jī)代表用戶端向RD 授權(quán)服務(wù)器請(qǐng)求RDS CAL，用戶端只有獲得適合的RDS CAL，該用戶端才能連接到RD會(huì)話主機(jī)。

（5）網(wǎng)絡(luò)級(jí)身份驗(yàn)證：網(wǎng)絡(luò)級(jí)身份驗(yàn)證避免非法連接或惡意軟件的攻擊，提高了安全性。當(dāng)用戶與RD 會(huì)話主機(jī)建立連接前，先驗(yàn)證用戶端設(shè)備是否安裝并信任根證書，再通過域控制器驗(yàn)證用戶的身份；如果驗(yàn)證通過，客戶端還得獲取RD 授權(quán)服務(wù)器適合的RDS CAL，才能使用在該域內(nèi)相應(yīng)的用戶組具有的訪問權(quán)限及資源。

（6）RD 連接代理：RD 連接代理負(fù)責(zé)均勻分配連接到RD 會(huì)話主機(jī)中的會(huì)話負(fù)載和支持會(huì)話的重新連接。

（7）RD 會(huì)話主機(jī)：在RD 會(huì)話主機(jī)中將基于Windows 的程序（企業(yè)信息化業(yè)務(wù)應(yīng)用系統(tǒng)的客戶端）發(fā)布成RemoteApp 應(yīng)用程序，并提供給遠(yuǎn)程用戶運(yùn)行或保存文件等。

3 基于RemoteApp 的信息化系統(tǒng)設(shè)計(jì)部署

3.1 基于RemoteApp 的信息化系統(tǒng)概述

根據(jù)上述建設(shè)目標(biāo)，在微軟Hyper-V 虛擬化服務(wù)器集群基礎(chǔ)上部署信息化業(yè)務(wù)應(yīng)用系統(tǒng)，應(yīng)用微軟RemoteApp 技術(shù)將信息化業(yè)務(wù)應(yīng)用系統(tǒng)客戶端發(fā)布成RemoteApp 程序，用戶遠(yuǎn)程訪問RD 會(huì)話主機(jī)發(fā)布的RemoteApp 程序，就如在本地設(shè)備運(yùn)行信息化系統(tǒng)客戶端一樣。該方案的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，如圖2 所示。

圖2 系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖

該方案使用單臺(tái)2U 機(jī)架式物理機(jī)作為Hyper-V 主機(jī)，并配置遠(yuǎn)程管理。配置磁盤RAⅠD 時(shí)劃分兩個(gè)邏輯卷，第一個(gè)卷安裝Windows Server 2016 并添加Hyper-V 組件,作為Hyper-V 主機(jī)；第二個(gè)卷保存數(shù)據(jù)（如在Hyper-V 主機(jī)中創(chuàng)建的虛擬機(jī)或其他數(shù)據(jù)）。系統(tǒng)的前端是采用硬件防火墻（路由器），一是通過路由器進(jìn)行端口映射遠(yuǎn)程管理物理機(jī)，二是通過防火墻發(fā)布RD Web 訪問站點(diǎn)。

3.2 安全授權(quán)服務(wù)部署

VM1 主要做如下兩項(xiàng)安全授權(quán)服務(wù)部署：

（1）主域控制器服務(wù)：用來創(chuàng)建管理用戶和用戶組、設(shè)定內(nèi)部資源分配權(quán)限，用戶身份認(rèn)證；同時(shí)要求將Hyper-V 主機(jī)、RD主機(jī)等虛擬機(jī)加入Active Directory 中進(jìn)行管理。

（2）RD 授權(quán)服務(wù)：添加基于角色的安裝，選擇VM1 作為RD授權(quán)服務(wù)器，添加遠(yuǎn)程桌面會(huì)話主機(jī)服務(wù)器角色。

VM2 主要做如下兩項(xiàng)安全授權(quán)服務(wù)部署：

（1）輔助域控制器服務(wù)：一旦主域控制器出現(xiàn)故障，則接管活動(dòng)目錄的工作，保證用戶能正常登錄和訪問資源。

（2）CA 證書服務(wù)：安裝標(biāo)準(zhǔn)證書服務(wù)，為用戶端頒發(fā)安全加密證書，保證用戶端與RD 服務(wù)器之間的建立SSL 連接通信。

3.3 基于會(huì)話的部署

VM3（rd.xxx.com）是在Windows Server 2016 上部署RD Web訪問、RD 連接代理、RD 會(huì)話主機(jī)等基于會(huì)話服務(wù)角色，同時(shí)也部署企業(yè)信息化系統(tǒng)客戶端。圍繞微軟遠(yuǎn)程桌面各角色組成關(guān)系做如下部署：

（1）添加RD 授權(quán)主機(jī)：指定VM1 作為RD 授權(quán)服務(wù)器。

（2）配置RD 網(wǎng)關(guān)服務(wù)器：將用戶端訪問RD 會(huì)話主機(jī)的域名rd.xxx.com 添加到RD 網(wǎng)關(guān)中，并命名自簽名SSL 證書。

（3）配置證書下載服務(wù)：從證書服務(wù)器（VM2）中申請(qǐng)一個(gè)“服務(wù)器證書”供用戶端下載安裝和信任，滿足用戶端能夠通過SSL 連接與RD 會(huì)話主機(jī)通信。

（4）配置部署：配置RD 網(wǎng)關(guān)，指定登錄服務(wù)和登錄方法；配置RD 授權(quán)角色，使得RD 會(huì)話主機(jī)能夠向VM1（授權(quán)服務(wù)器）發(fā)送驗(yàn)證用戶訪問授權(quán)請(qǐng)求；配置RD Web 訪問，指定RD Web 訪問及用戶登錄RD 會(huì)話主機(jī)的URL（https://rd.xxx.com/rdweb）等。確認(rèn)RD 連接代理、RD Web 訪問、RD 網(wǎng)關(guān)等角色服務(wù)受信任所申請(qǐng)的證書，以滿足服務(wù)器身份驗(yàn)證、單一登錄和建立SSL 連接。

（5）創(chuàng)建會(huì)話集：添加具有訪問權(quán)限域用戶組到該會(huì)話集，并指定用戶配置文件磁盤，實(shí)現(xiàn)不同用戶組訪問不同的會(huì)話集。

（6）發(fā)布RemoteApp 應(yīng)用程序：將RD 會(huì)話主機(jī)中已安裝企業(yè)信息化業(yè)務(wù)系統(tǒng)客戶端（如ⅠE、進(jìn)銷存、ERP 等客戶端）或“遠(yuǎn)程桌面連接”添加到會(huì)話集中。

3.4 配置遠(yuǎn)程訪問

用戶端從Ⅰnternet 連接RD Web 訪問站點(diǎn)，還需要復(fù)查RD 網(wǎng)關(guān)SSL 證書及使用SSL 橋接；并在防火墻中發(fā)布Ⅰnternet 上的用戶端對(duì)RD 會(huì)話主機(jī)的SSL RD Web 訪問站點(diǎn)，將URL 轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的RD 會(huì)話主機(jī)中。

3.4 用戶連接遠(yuǎn)程桌面

初次訪問RD 會(huì)話主機(jī)的用戶或設(shè)備，必須登錄RD 會(huì)話主機(jī)（https://rd.xxx.com/ca）下載并信任根證書。對(duì)于不同類型的用戶端設(shè)備系統(tǒng)，用戶訪問企業(yè)內(nèi)部信息化系統(tǒng)，主要有兩種方式：

（1）非windows 系統(tǒng)用戶端。只能使用瀏覽器登錄站點(diǎn)https://rd.xxx.com/rdweb 訪問發(fā)布的RemoteApp 應(yīng)用程序。

（2）windows 系統(tǒng)用戶端。除了可以使用瀏覽器登錄站點(diǎn)外，還可以通過“RemoteApp 和桌面連接”，連接到RD 連接代理服務(wù)，訪問發(fā)布的RemoteApp 程序。

用戶端通過Ⅰnternet 連接到RD 會(huì)話主機(jī)，訪問發(fā)布的

RemoteApp 程序（企業(yè)信息化系統(tǒng)客戶端），RD 會(huì)話主機(jī)上運(yùn)行的企業(yè)信息化業(yè)務(wù)系統(tǒng)客戶端程序窗口會(huì)顯示在用戶使用的設(shè)備屏幕上，用戶使用鍵盤、鼠標(biāo)即可根據(jù)屏幕顯示的進(jìn)行信息化系統(tǒng)辦公，就如同信息化系統(tǒng)客戶端程序運(yùn)行在用戶端設(shè)備一樣。

4 結(jié)語

本文應(yīng)用RemoteApp 技術(shù)對(duì)信息化業(yè)務(wù)應(yīng)用系統(tǒng)客戶端軟件進(jìn)行虛擬化設(shè)計(jì)部署，并將企業(yè)信息化業(yè)務(wù)應(yīng)用系統(tǒng)部署在虛擬機(jī)上進(jìn)行統(tǒng)一管理，降低了設(shè)備購置和維護(hù)成本，提高了系統(tǒng)的管理效率以及安全性，方便用戶使用個(gè)人設(shè)備隨時(shí)隨地連接到企業(yè)內(nèi)部網(wǎng)絡(luò)處理信息化事務(wù)。