远程应用资源发布测试过程及排错
  

大蒜头 167613人觉得有帮助

{{ttag.title}}
本帖最后由 大蒜头 于 2015-11-2 21:00 编辑

1.        需求背景
①适用移动用户使用手机或者平板电脑接入SSL VPN访问应用系统办公。
②对于C/S模式的应用系统,客户端不用安装应用程序,接入SSL VPN后,即可对服务器端的应用系统进行操作。减少C/S应用系统使用的局限性,提高易用性。
③对于移动用户使用手机访问某些B/S架构的系统,需要在客户端安装ActiveX等控件,而IOS和安卓系统又无法安装,可以通过远程应用发布发布IE浏览器来进行访问。
2.        测试环境
2.1测试拓扑
测试设备功能,建议使用单臂模式。单臂模式时SSL设备工作模式基本与一台内网服务器相当,由前置设备将SSL服务对外发布,该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式,因为这种部署模式对客户的网络环境无变动,哪怕设备宕机也不会影响网络(防火墙、NAT、DHCP等功能无法使用)。

2.2测试思路
a)        SSL VPN设备开启远程应用发布序列号并确保有足够的用户数授权。
b)        下载RemoteAppAgent程序,在服务器上安装终端服务和RemoteAppAgent程序,并在存储服务器上创建共享文件夹。
c)        新建终端服务器,发布写字板程序。
d)        新建存储服务器,创建个人目录和公共目录。
e)        新建远程应用发布资源,添加写字板程序。
f)        新建策略组,设置远程应用发布权限。并将该策略组关联给用户。
g)        新建角色, 将用户与远程应用发布资源关联起来。
h)        移动用户登录SSL VPN访问远程应用发布资源,并设置输入法为本地输入法。
3.        配置过程
3.1         检查授权,SSL VPN设备开启远程应用发布功能序列号并有足够的用户数授权。

3.2         安装终端服务并安装RemoteAppAgent软件
3.2.1首先需要确认服务器上是否安装终端服务并且已授权,在服务器上添加终端服务,详见下文档(双击图标打开阅读),有详细操作说明和破解,建议正式使用时通过正当去渠道去购买微软正版授权。
         
3.2.2 下载RemoteAppAgent程序,在服务器上安装终端服务和RemoteAppAgent程序,作用是打通我们设备与服务器的7170、7171和7172端口。安装完成后需重启服务器才能生效。并在存储服务器上创建共享文件夹(如果需要保存文件至服务器)。

3.3 安装完毕后,新建终端服务器,发布相应应用程序(以IE为例),信息填写完毕后测试连接成功。点击下面添加预设,设备会扫描注册表列出默认程序,可从列表中选择IE资源。

3.4新建远程应用发布资源,点击新建资源,类型选择远程应用



3.5新建资源完成后,需要配置与之相对应的策略组。设置远程应用发布权限。并将该策略组关联给用户。

其中接入账户有三种,可根据用户需求来设置相应的账户建立
  • 使用终端服务器配置的用户名和密码:SSL用户使用终端服务器上配置的管理员账号登录终端服务器,具有对终端服务器的管理员权限。
  • 使用登录SSL VPN的用户名和密码:SSL用户使用登录SSL的账号登录终端服务器,适用于终端服务器需要加入域进行管理的场景
  • 自动创建与SSL VPN账户对应的Windows账户:将会在终端服务器上创建“_SSL_用户名”命名的用户。



  账号类型:可选择在终端服务器上创建的用户的权限
  同步选项:设置删除设备上的SSL用户时,是否同步删除终端服务器上的用户



3.6新建用户或用户组并将该策略组与之关联

3.7新建角色,将用户与远程应用发布资源关联起来。

4.        远程应用发布排错
4.1远程应用发布排错步骤
4.1.1确认服务器问题
  • 确认服务器是否正常安装了终端服务,并有终端服务授权。
  • 确认服务器是否正常安装了RemotAppServer软件。
  • 确认服务器RemotApp服务是否正常启动。
  • 确认服务器是否有在监听远程应用发布的端口,默认是7170、7171、7172   端口,且防火墙有放通以上端口。
  • 使用相同账号远程桌面(mstsc)连接服务器,确认服务器上的应用是否正常。



4.1.2确认网络问题
  • 确认SSL设备和远程应用发布服务器能正常通讯。
  • 如果TCP资源服务选项选择的是“使用分配的虚拟IP地址作为源地址”,请确认服务器有到虚拟IP地址池网段的回包路由(因为远程应用发布资源和TCP资源共用一个资源服务选项)。



4.1.3确认权限问题
  • 确认设备有远程应用发布授权,通过序列号开通授权。



  • 确认服务器有终端服务授权,如下可以看到授权的用户数位9999个。


         
  • 终端服务配置授权方式为“每用户”。 终端服务器接入账号是否有权限。



4.2远程应用发布启动过程排错
4.2.1 卡在正在与VPN SSL握手
如果卡在这一步,请检查配置的终端服务器账号密码是否正确,权限是否足够,是否是域环境等。

4.2.2 卡在正在从SSL获取配置
可能是无法正常从VPN上获取资源配置参数,检查配置,是否服务器端口号和Agent端口号一致,设备是否能够telnet通Agent端口号,是否Agent端口号防火墙拦截

4.2.3 卡在正在SSL握手
检查监听端口是否被防火墙或者其他设备拦截、终端服务器是否有授权,系统磁盘已满等问题。对于PC端,卡在“正在SSL 握手”, M61及M61以上版本,表明7172端口不通。
对于移动终端,卡“正在SSL 握手”,M58以下版本,表明7171端口不通; M58及M58以上版本,表明7172端口不通。
4.2.4 卡在正在协议握手
首先检查终端服务器授权是否激活。对于PC端,卡在“正在协议握手”, M61以下版本,表明7171端口不通。设备上配置TCP资源访问模式为“使用分配的虚拟IP地址作为源地址”,而终端服务器没有配置相应路由。这样会导致7171端口不通,需要改成“使用设备IP地址作为源地址”。

4.2.5 卡在正在加载个人设置、正在应用计算机设置或正在应用个人设置
如果卡在这几步,一般是用户配置文件损坏,可重装RemoteApp程序,并重启服务器。
4.3 特殊案例排错
4.3.1 打不开远程应用,停留在调试窗口
①检查服务器状态是否正常,设备与服务器能否正常通讯。

②检测服务器是否有终端服务授权

③确认服务器接入账号是否有远程桌面权限,可以用超级管理员账号接入测试
         
4.3.2 可以打开远程应用,但是发布的应用有部分功能无法正常使用
①确认是否是服务器本身问题,可通过在内网找台电脑,用相同的账号远程桌面过去服务器,确认该应用本身能否正常使用。
②如果确认远程桌面可以正常访问,请确认该应用是否需要调用网上邻居、资源管理器等系统资源,从M5.3版本开始,如果接入账号选择的是“自动创建与SSL VPN账户对应的Windows账户”,则这些选项会受到限制。如确认需要放通,可将接入账号改成“使用终端服务器配置的用户名和密码”测试,或联系客服人员进行处理。

4.3.3 出现部分用户可以正常打开远程应用,部分用户不行,例如PC能正常打开远程应用而iphone、android不正常等情况。
①服务器没有足够授权,请先获得足够的授权。注意,如下图,这里显示已激活,不代表终端服务器授权是真正有多个授权了。

②终端服务器配置,将授权方式从“每设备”改成“每用户。


打赏鼓励作者,期待更多好文!

打赏
11人已打赏

tracy 发表于 2015-11-3 09:23
  
有window2008的终端服务配置吗 谢谢
cqbuyan 发表于 2016-3-31 08:21
  
感谢楼主共享!很适用。
丿轻狂丶凡书尘 发表于 2016-10-18 21:45
  
66666666666666666!!!!!
请问楼主。。我目前也在实施一个sslvpn的远程应用发布。。现在的问题是
1.一部分用户登录我们的EC。。速度很快。。。。一部分用户登陆上去会在“正在应用个人设置”那里等一段时间大概有15秒左右。。但是把这些用户换一台电脑进行测试,,,又正常了。。速度也很快
这个问题不是经常出现。。不知道楼主在使用中有没有遇到这种情况。

QQ图片20161018213924.jpg (13.84 KB, 下载次数: 371)

QQ图片20161018213924.jpg
稻草 发表于 2016-10-19 07:47
  
大神啊。。。
willliam 发表于 2016-12-5 13:20
  
请问楼主有2012R2的终端服务的配置文档吗
袁小鹏 发表于 2016-12-7 07:00
  
写的很详细,谢谢楼主
俞晓 发表于 2017-2-8 15:14
  
非常感谢楼主
78465 发表于 2018-3-21 09:25
  
学习了解
Nevermore 发表于 2018-7-23 11:33
  
感谢楼主分享,顶一个
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人