远程应用资源发布测试过程及排错

1.        需求背景
①适用移动用户使用手机或者平板电脑接入SSL VPN访问应用系统办公。
②对于C/S模式的应用系统，客户端不用安装应用程序，接入SSL VPN后，即可对服务器端的应用系统进行操作。减少C/S应用系统使用的局限性，提高易用性。
③对于移动用户使用手机访问某些B/S架构的系统，需要在客户端安装ActiveX等控件，而IOS和安卓系统又无法安装，可以通过远程应用发布发布IE浏览器来进行访问。
2.        测试环境
2.1测试拓扑
测试设备功能，建议使用单臂模式。单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式对客户的网络环境无变动，哪怕设备宕机也不会影响网络（防火墙、NAT、DHCP等功能无法使用）。

2.2测试思路
a)        SSL VPN设备开启远程应用发布序列号并确保有足够的用户数授权。
b)        下载RemoteAppAgent程序，在服务器上安装终端服务和RemoteAppAgent程序，并在存储服务器上创建共享文件夹。
c)        新建终端服务器，发布写字板程序。
d)        新建存储服务器，创建个人目录和公共目录。
e)        新建远程应用发布资源，添加写字板程序。
f)        新建策略组，设置远程应用发布权限。并将该策略组关联给用户。
g)        新建角色， 将用户与远程应用发布资源关联起来。
h)        移动用户登录SSL VPN访问远程应用发布资源，并设置输入法为本地输入法。
3.        配置过程
3.1         检查授权，SSL VPN设备开启远程应用发布功能序列号并有足够的用户数授权。

3.2         安装终端服务并安装RemoteAppAgent软件
3.2.1首先需要确认服务器上是否安装终端服务并且已授权，在服务器上添加终端服务，详见下文档（双击图标打开阅读），有详细操作说明和破解，建议正式使用时通过正当去渠道去购买微软正版授权。
         
3.2.2 下载RemoteAppAgent程序，在服务器上安装终端服务和RemoteAppAgent程序，作用是打通我们设备与服务器的7170、7171和7172端口。安装完成后需重启服务器才能生效。并在存储服务器上创建共享文件夹（如果需要保存文件至服务器）。

3.3 安装完毕后，新建终端服务器，发布相应应用程序（以IE为例），信息填写完毕后测试连接成功。点击下面添加预设，设备会扫描注册表列出默认程序，可从列表中选择IE资源。

3.4新建远程应用发布资源，点击新建资源，类型选择远程应用

3.5新建资源完成后，需要配置与之相对应的策略组。设置远程应用发布权限。并将该策略组关联给用户。

其中接入账户有三种，可根据用户需求来设置相应的账户建立

• 使用终端服务器配置的用户名和密码：SSL用户使用终端服务器上配置的管理员账号登录终端服务器，具有对终端服务器的管理员权限。
• 
• 使用登录SSL VPN的用户名和密码：SSL用户使用登录SSL的账号登录终端服务器，适用于终端服务器需要加入域进行管理的场景
• 
• 自动创建与SSL VPN账户对应的Windows账户：将会在终端服务器上创建“_SSL_用户名”命名的用户。

  
  

  
  
  
  

  账号类型：可选择在终端服务器上创建的用户的权限
  同步选项：设置删除设备上的SSL用户时，是否同步删除终端服务器上的用户

• 

  
  

  
  
  
  

3.6新建用户或用户组并将该策略组与之关联

3.7新建角色，将用户与远程应用发布资源关联起来。

4.        远程应用发布排错
4.1远程应用发布排错步骤
4.1.1确认服务器问题

• 确认服务器是否正常安装了终端服务，并有终端服务授权。
• 确认服务器是否正常安装了RemotAppServer软件。
• 确认服务器RemotApp服务是否正常启动。
• 确认服务器是否有在监听远程应用发布的端口，默认是7170、7171、7172   端口，且防火墙有放通以上端口。
• 使用相同账号远程桌面（mstsc）连接服务器，确认服务器上的应用是否正常。
  
• 
  

  
  
  
  

4.1.2确认网络问题

• 确认SSL设备和远程应用发布服务器能正常通讯。
• 如果TCP资源服务选项选择的是“使用分配的虚拟IP地址作为源地址”，请确认服务器有到虚拟IP地址池网段的回包路由(因为远程应用发布资源和TCP资源共用一个资源服务选项)。
• 

  
  
  
  

4.1.3确认权限问题

• 确认设备有远程应用发布授权，通过序列号开通授权。
• 

  
  
  
  

• 确认服务器有终端服务授权，如下可以看到授权的用户数位9999个。
• 

  
  
  
  

         

• 终端服务配置授权方式为“每用户”。 终端服务器接入账号是否有权限。
• 

  
  
  
  

4.2远程应用发布启动过程排错
4.2.1 卡在正在与VPN SSL握手
如果卡在这一步，请检查配置的终端服务器账号密码是否正确，权限是否足够，是否是域环境等。

4.2.2 卡在正在从SSL获取配置
可能是无法正常从VPN上获取资源配置参数，检查配置，是否服务器端口号和Agent端口号一致，设备是否能够telnet通Agent端口号，是否Agent端口号防火墙拦截

4.2.3 卡在正在SSL握手
检查监听端口是否被防火墙或者其他设备拦截、终端服务器是否有授权，系统磁盘已满等问题。对于PC端，卡在“正在SSL 握手”， M61及M61以上版本，表明7172端口不通。
对于移动终端，卡“正在SSL 握手”，M58以下版本，表明7171端口不通； M58及M58以上版本，表明7172端口不通。
4.2.4 卡在正在协议握手
首先检查终端服务器授权是否激活。对于PC端，卡在“正在协议握手”， M61以下版本，表明7171端口不通。设备上配置TCP资源访问模式为“使用分配的虚拟IP地址作为源地址”，而终端服务器没有配置相应路由。这样会导致7171端口不通，需要改成“使用设备IP地址作为源地址”。

4.2.5 卡在正在加载个人设置、正在应用计算机设置或正在应用个人设置
如果卡在这几步，一般是用户配置文件损坏，可重装RemoteApp程序，并重启服务器。
4.3 特殊案例排错
4.3.1 打不开远程应用，停留在调试窗口
①检查服务器状态是否正常，设备与服务器能否正常通讯。

②检测服务器是否有终端服务授权

③确认服务器接入账号是否有远程桌面权限，可以用超级管理员账号接入测试
         

4.3.2 可以打开远程应用，但是发布的应用有部分功能无法正常使用
①确认是否是服务器本身问题，可通过在内网找台电脑，用相同的账号远程桌面过去服务器，确认该应用本身能否正常使用。
②如果确认远程桌面可以正常访问，请确认该应用是否需要调用网上邻居、资源管理器等系统资源，从M5.3版本开始，如果接入账号选择的是“自动创建与SSL VPN账户对应的Windows账户”，则这些选项会受到限制。如确认需要放通，可将接入账号改成“使用终端服务器配置的用户名和密码”测试，或联系客服人员进行处理。

4.3.3 出现部分用户可以正常打开远程应用，部分用户不行，例如PC能正常打开远程应用而iphone、android不正常等情况。
①服务器没有足够授权，请先获得足够的授权。注意，如下图，这里显示已激活，不代表终端服务器授权是真正有多个授权了。

②终端服务器配置，将授权方式从“每设备”改成“每用户。

有window2008的终端服务配置吗 谢谢

感谢楼主共享！很适用。

66666666666666666！！！！！

请问楼主。。我目前也在实施一个sslvpn的远程应用发布。。现在的问题是

1.一部分用户登录我们的EC。。速度很快。。。。一部分用户登陆上去会在“正在应用个人设置”那里等一段时间大概有15秒左右。。但是把这些用户换一台电脑进行测试，，，又正常了。。速度也很快

这个问题不是经常出现。。不知道楼主在使用中有没有遇到这种情况。

大神啊。。。

请问楼主有2012R2的终端服务的配置文档吗

写的很详细，谢谢楼主

非常感谢楼主

学习了解

感谢楼主分享，顶一个