工程师手记-远程工作站故障排除

   当Small Business Server 2003集成安装结束之后，系统会在默认网站下面自动创建一个名为Remote的虚拟目录。这样，互联网上的用户就可以通过访问https://domainname/Remote来访问公司的远程工作网站了。通过远程工作网站，用户不但可以访问Outlook Web Access信息、公司内部Windows SharePoint Services站点（在Small Business Server 2003中，已经集成了一个名为Companyweb的Windows SharePoint Services站点），还可以远程访问公司内部计算机、服务器、终端服务（Terminal Services）应用程序共享服务器以及进行其它管理和监控。

   远程工作网站是如何工作的？    在默认情况下，远程工作网站会要求客户端使用128 bit SSL证书加密以确保通信安全。远程工作网站是Small Business Server 2003集成安装的一个基于ASP .NET的虚拟目录。在实际工作中，最经常用到的功能便是通过远程工作网站来访问公司内部计算机的桌面。在用户体验上，与连接到公司的VPN服务器上再进行远程桌面访问是完全一样的。在Windows Server 2003的环境中，普通用户一般都是首先建立与VPN服务器的连接，才能用远程桌面访问公司内部计算机。远程工作网站监听在TCP 4125端口上，互联网上的用户在登录远程工作网站之后，连接到服务器的TCP 4125端口，服务器再与内部计算机的TCP 3389端口进行通讯，将远程桌面的连接返回给互联网上的用户。

   常见问题    问题一：无法访问远程工作网站    无法访问远程工作网站的原因有多种，下面将列举比较常见的错误信息。

   错误信息1——Server Error in "/Remote" Application 当访问https://DomainName/Remote时，会遇到如下错误信息： Error: Server Error in "/Remote" Application Runtime Error ………………    该错误不但会发生在远程工作网站中，而且会发生在所有基于ASP .NET的站点上。如果在将服务器提升为域控制器之前便安装了Internet 信息服务（IIS）6.0与ASP .NET，就会出现这个问题。我们可以通过运行“aspnet_regiis -i”重新进行注册来解决此问题。具体步骤可以参考微软知识库文章“尝试登录到Windows SharePoint Services 时出现‘Server Error in "/" Application.Access to the Path Is Denied’（"/" 应用程序中的服务器错误。对路径 的访问被拒绝）错误信息”（http://support.microsoft.com/kb/823379）。

   错误信息2——403 Forbidden    错误信息2如图1所示。   

   对于Small Business Server 2003标准版来说，这一般是由IIS中的目录安全性配置造成的。解决方法如下：    a) 打开“Internet信息服务（IIS）管理器”。    b) 展开“网站/默认网站/Remote”。    c) 右键点击“Remote”，选择“属性”。    d) 选择“目录安全性”选项卡。    e) 点击“IP地址和域名限制”下面的“编辑”按钮。    f) 选择“授权访问”，并点击“确定”两次。    对于Small Business Server 2003专业版来说，这有可能是因为Web服务器证书配置不当造成的。解决方法如下：    a) 点击“开始”，选择“服务器管理”。    b) 选择“任务列表”，并点击“连接到Internet”。    c) 按照向导至“Web服务器证书”页面。    d) 选择“创建新Web服务器证书”，并在文本框中键入您的外部域名或公有IP地址。    e) 完成向导。    如图2所示，你应在“创建新Web服务器证书”页面中填入正确的信息。

错误信息3——The page cannot be displayed   
错误信息3如图3所示。    造成这个问题主要的可能性是TCP 80和TCP 443端口没有被指向Small Business Server服务器的外网卡。在运行“配置电子邮件和Internet连接向导”之后，Small Business Server 2003的外网卡会侦听TCP 80和TCP 443端口。该故障一般是由于位于Small Business Server 2003服务器前端的路由器配置不当所引起的。请确认路由器已经将TCP 80和TCP 443的网络流量NAT到了Small Business Server服务器上。

问题二：如何修改远程工作网站的超时时间限制     众所周知，Exchange Server 2003的Outlook Web Access提供了基于Cookie的Forms-Based Authentication功能。远程工作网站同样提供了该功能。这样，用户在一段时间没有响应之后，服务器会自动断开与用户的连接，以确保信息安全。图4为远程工作网站的Forms-Based Authentication登录界面。    在缺省情况下，若用户选择了“我正在使用公用或共享计算机”，超时限制为20分钟；若用户没有选择“我正在使用公用或共享计算机”，超时限制为120分钟。在大多数情况下，这种配置是比较安全的。当然，网络管理员可以根据公司的实际情况更改该设置。配置方法为：   a) 打开注册表编辑器。   b) 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SmallBusinessServer\RemoteUserPortal键。   c) 修改PublicTimeOut与TrustedTimeOut的值便可以修改上述两种超时限制。      问题三：登录远程工作网站后一直显示“正在加载”    一般来说，该问题仅出现在Windows XP Service Pack 2和Windows Server 2003 Service Pack 1的计算机上（如图5）。     该问题通常发生在配置了禁止使用Internet Explorer Add-on的组策略的情况下。另外，如果浏览器不允许使用Cookie，也会产生这种问题。此时，调整相应的组策略以及Internet Explorer 安全设置即可。     问题四：如何调整远程工作网站中的链接     针对管理员和普通用户，远程工作网站中所包含的链接有所不同。图6和图7分别显示了管理员及普通用户登录远程工作网站之后的界面。 图6：管理员登录远程工作网站     图7：普通用户登录远程工作网站      在注册表中，我们可以控制远程工作网站中所显示的链接。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SmallBusinessServer\RemoteUserPortal\AdminLinks            键下的值控制了管理员界面中的链接。具体情况请参照表1。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SmallBusinessServer\RemoteUserPortal\KWLinks键下的值控制了用户界面中的链接。具体情况请参照表2。 值 缺省 链接 ClientTS 1 连接到客户端桌面 CM 0 下载连接管理器 Community 1 社区咨询 Help 1 查看客户端帮助 HelpDesk 0 监视器帮助桌面 OWA 1 使用Outlook Web Access PerfReport 1 查看服务器性能报告 RA 1 提供远程协助 RPC 1 配置通过Internet的Outlook ServerTS 1 连接到服务器桌面 STS 0 管理公司的内部网站 UsageReport 1 查看服务器使用情况报告 表1：AdminLinks键值   值 缺省 链接 AppTS 1 连接到公司的应用程序共享服务器 CM 0 下载连接管理器 Help 1 查看远程工作网站帮助 OWA 1 读取公司的电子邮件 RPC 1 配置计算机通过Internet使用Outlook STS 0 使用公司的内部网站 TS 1 连接到我的电脑桌面 UsageReport 1 查看服务器使用情况报告 表2：KWLinks键值       只有当以上注册表键值为1，并满足相应条件的情况下，所对应的链接才会出现在远程工作网站中。由于篇幅所限，在此不做具体介绍，仅讨论以下两个问题： 故障1：公司网络中的服务器并不在“连接到服务器桌面”的列表中 Small Business Server 2003提供了一个“设置服务器向导”，如果域内的服务器并没有通过“设置服务器向导”来加入域，则有可能产生这种问题。解决方法如下：   a) 确保该服务器在DC=domainname,DC=local,OU=MyBusiness,OU=Computers,OU=SBSServers组织单元内。   b) 插入Small Business Server 2003第二张安装光盘，并运行x:\support\tools\suptools.msi安装Windows Server 2003支持工具集。   c) 运行adsiedit.msc。   d) 展开DC=domainname,DC=local,OU=MyBusiness,OU=Computers,OU=SBSServers。   e) 右键点击CN=servername（有问题的服务器名称）并选择Properties。   f) 在Attribute Editor选项卡中，找到operatingSystem，并确保其中包含Server字样（S应为大写字母）。   g) 重新登录远程工作网站。      故障2：公司网络中的终端服务器并不在“连接到公司的应用程序共享服务器”列表中 首先，我们必须保证该服务器已经满足了“故障1”中所述的条件。然后，请按照下列步骤进行检查：   a) 该服务器必须正在运行。   b) 该服务器的远程桌面必须侦听在TCP 3389端口。   c) Remote Registry服务必须已经开启。   d) 终端服务必须运行在“应用程序共享模式”下。   e) 尝试访问终端服务的用户必须可以访问以下注册表值： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\TSEnabled HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\TSAppCompat   f) 以上注册表的值应为1。     问题五：为什么不能通过远程工作网站连接到内部计算机的桌面     在通过远程工作网站连接到内部计算机桌面的时候，经常会遇到以下错误：     Connectivity to the remote computer could not be established. Ensure that the remote computer is on and connected to the Windows Small Business Server network.     在进行进一步的故障排除之前，首先应确保该内部计算机可以被其它内部计算机使用远程桌面的方式连接到。这样可以保证TCP 3389端口侦听正常。     随后，在一台内部计算机中使用https://SBSServerName/Remote的方式来访问远程工作网站，并尝试连接到出现问题的内部计算机。     若此时一切工作正常，一般是由于Small Business Server前端的路由器所造成的。为了保证互联网上的用户可以使用远程工作网站来连接到内部计算机，路由器必须将TCP 4125端口NAT到Small Business Server的外网卡接口上。     若此时仍然无法连接到内部计算机，则需要检查TCP 4125端口是否被其它应用程序所占用。此时，可以参考微软知识库文章“Users cannot connect to remote desktops by using the Windows Small Business Server 2003 Remote Web Workplace”（http://support.microsoft.com/kb/886209） 来解决该问题。     以上是关于远程工作网站的一些常见问题。在实际生产环境中，您可能会遇到其它问题，届时，您可以点击远程工作网站中的“社区咨询”链接来寻求技术社区的支持（目前仅支持英文版Small Business Server操作系统）。若您在使用远程工作网站的时候遇到其它问题，欢迎发电子邮件（billypenghui@hotmail.com）与我探讨。