环境 我们确实有一个基于 Windows Server 2016 的 RemoteApp 终端服务器。安装了最新更新。我们已通过此服务器配置了多个应用程序。有一个包含所有应用程序的会话集合。此服务器没有互联网连接。出于测试目的,Windows 防火墙已关闭。为了便于解释,我们将其称为 RAS(RemoteAppServer)。此服务器的 FQDN 为 RAS-01.ad2.domain.com(与将要连接的客户端的 AD 不同,用户将以 AD 身份进行连接1\用户名)。服务器已完全加入域。已安装有效许可证。服务器已安装许可证角色、网关角色、Web 角色和会话管理器。所有内容都在同一台服务器上。
用户从另一个基于 Windows Server 2012 R2 服务器的终端服务器连接到此服务器,安装了最新更新。为了便于解释,我们将其称为 TS 服务器。完全合格的域名是 ts-01.ad1.domain.com 服务器已完全加入域。终端服务器可以通过代理服务器访问互联网。我们确实为 *.domain.com 定义了排除项,并打开了以下端口:
哪些港口开放?
- 端口 443 从 TS 到 RAS
- AD 端口从 RAS 到两个 AD 中的 DC。
两台服务器位于不同的网络区域和不同的 Active Directory。Active Directory 已完全加入。“主”AD 是 AD1。此外,用户将使用域 ad1 的用户(AD1\用户名)登录 TS 和 RAS 这两个服务器。Web 界面上的登录速度非常快。它们还具有不同的 DNS 服务器。
我们确实使用官方证书进行连接。
这是用户用于连接的 rdp 文件的内容:
redirectclipboard:i:1
redirectprinters:i:1
redirectcomports:i:0
redirectsmartcards:i:0
devicestoredirect:s:
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
span monitors:i:1
use multimon:i:1
remoteapplicationmode:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:1
videoplaybackmode:i:0
audiocapturemode:i:0
gatewayusagemethod:i:1
gatewayprofileusagemethod:i:1
gatewaycredentialssource:i:0
full address:s:ras.domain.com
alternate shell:s:||EXCEL
remoteapplicationprogram:s:||EXCEL
gatewayhostname:s:ras.domain.com
remoteapplicationname:s:Excel 2016
remoteapplicationcmdline:s:
workspace id:s:RAS-01.ad2.domain.com
use redirection server name:i:1
loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.Factory
alternate full address:s:ras.domain.com
signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSource,PromptCredentialOnce,Alternate Shell,RemoteApplicationProgram,RemoteApplicationMode,RemoteApplicationName,RemoteApplicationCmdLine,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesToRedirect,LoadBalanceInfo
signature:s:some information removed :)
问题 用户将打开浏览器(IE 和 Chrome 已测试,无所谓,只是登录方式不同,在 IE 中用户无需再次提示凭据)。然后他们将点击一个应用程序,将显示以下窗口: RemoteApp 加载屏幕 1
然后大约需要 60 秒,它会要求接受证书,因为服务器无法检查吊销列表。如果我在 TS 上的浏览器中打开吊销列表 URL,它就可以工作。但在 RAS 上逻辑上不行,因为它没有互联网连接。据我了解,检查将由 TS(因为这是此刻的客户端)进行,而不是由 RemoteApp 服务器本身进行: RemoteApp 加载屏幕 2
点击“是”后,还需要 60 秒,灰色的“显示详细信息”按钮将不再显示为灰色,并且可以单击。如果单击它,您会看到登录过程正在启动: RemoteApp 加载屏幕 3
最终,整个过程耗时 2 分 15 秒。建立第一个连接后,所有其他 RemoteApp 都会立即加载。
你们当中有人知道我们该如何解决这个问题吗?我不知道我该去哪里找?是因为证书,还是因为 DNS,还是因为加入域,还是因为我?:)谢谢大家的建议!