我正在尝试设置一个实验室,其中的 VM 托管 Windows 2016 Server 远程桌面服务 (CB、SH、WA) 的所有角色,以发布一些要交付给 Windows 10 专业客户端的应用程序。
所有机器都加入到域中。域中安装了一个 Active Directory 认证机构,该机构为 RDS 服务器的所有角色颁发了受信任的证书。颁发的证书具有正确的主题名称和主题备用名称。
_msradc DNS 记录(TXT 类型)指向已发布应用程序的 Web 源:https://rds.lan....biz/rdweb/feed
组策略对象向客户端提供网络提要的地址: https://rds.lan....biz/RDWeb/feed/webfeed.aspx
事实上,我在客户端计算机的注册表中检查过,在 HKCU\Software\Policies\Microsoft\Workspaces 下有正确的值“DefaultConnectionURL”。键 HKCU\Software\Microsoft\Workspaces\Feeds 为空。
但是在开始菜单中没有 RemoteApp。
如果我通过控制面板,手动登录到 RemoteApp 和桌面,然后添加输入[电子邮件保护]我被要求提供凭证。
这有点令人惊讶,因为:
- 在这个级别上 SSO 无效吗?
- 如果没有事先进行身份验证就无法访问已发布的 RemoteApp 列表(Web 源),那么如何自动将 RemoteApp 传送到我的“开始”菜单?
由于 RemoteApp 列表是针对每个用户定制的,因此需要进行身份验证才能获取此列表,这是合乎逻辑的。因此,我怀疑需要应用一些设置/策略,以便当前登录用户的凭据自动传递给 IIS 和 RDS。我希望解决这个问题也能解决“开始”菜单中缺少应用程序的问题。
答案1
我想我得到了结果。总结一下:
Windows 10 Pro v1709 似乎是通过 WebFeed 正常进行 RemoteApp 发布的必需条件;考虑到 WebFeed 发布是发布 RemoteApp 的官方方式,Windows 10 的早期版本没有提供更新,这非常令人失望;
就我而言,更新到 v1709 还不够;但至少在事件日志中出现了一些错误消息;重新安装 RDWA 角色后,情况变得更好了;
尽管如上所述,RDWA 服务器对于 Internet Explorer 的本地 Intranet 区域的成员资格对于 SSO 来说似乎不是必需的;
但必须将“TERMSRV/*.lan.mydomain.com”添加到允许通过 CredSSP 传递默认凭据的 SPN 列表中;
还建议将用于签署 .rdp 文件的证书指纹添加到适当的策略中。