可以通过RDP协议或HTTPS协议
但用户如果出差在外地或在家办公就无法直接连接到内网
远程桌面服务器了我们
般解决思路方法是在企业中假设VPN服务器让用户拨入VPN服务器后再访问内网远程桌面服务器但有些情况下用户在互联网上由于受到环境限制可能无法发起VPN拨入连接这时我们就要考虑个兼容性更好解决方案了远程桌面网关服务器可以很好地为我们解决这个问题
远程桌面网关服务器般被放置在企业DMZ区域中被防火墙发布到互联网上外网用户使用HTTPS协议连接到远程桌面网关服务器然后远程桌面网关服务器再把外网用户访问请求重定向到内网远程桌面服务器上这样来由于外网用户使用是互联网上应用广泛HTTP协议基本不用担心在互联网上被拦截而且HTTPS协议也可以保护数据在传输过程中安全性本文中我们将通过个例子为大家介绍远程桌面网关服务器配置及应用实验拓扑如下图所示Rdgateway是新增加台远程桌面网关服务器其他几台计算机角色在的前文章中已经进行了介绍在此不再赘述
申请证书远程桌面网关服务器需要有证书才能支持HTTPS访问
因此我们需要先在远程桌面网关服务器上申请个服务器证书在的前文章中我们已经在域控制器上部署了个企业根CA那么这次我们就要从企业根CA申请证书值得注意是Win2008 R2已经不再允许通过浏览器申请服务器证书了这主要是由于浏览器运行权限发生了变化因此本次我们将通过MMC控制台进行证书申请工作在RDGATEWAY上运行MMC如图1所示添加个管理单元用于管理本地计算机证书
查看原图(大图)
图1
如图2所示
在本地计算机个人证书中选择“申请新证书”
查看原图(大图)
图2
如图3所示
确认当前网络状况良好远程桌面网关服务器已经加入了域点击“下步”继续
查看原图(大图)
图3
如图4所示
选择Active Directory注册策略这样我们就不再需要为申请证书填写参数了
查看原图(大图)
图4
如图5所示
我们当前可以申请计算机证书这个证书可以用于客户机验证也可以用于服务器验证点击“注册”按钮进行证书申请
查看原图(大图)
图5
如图6所示
证书申请成功完成!
查看原图(大图)
图6
如图7所示
申请到证书是颁发给rdgateway.contoso.com计算机而且已经存储在本地计算机个人证书存储单元至此证书申请任务完成了
查看原图(大图)
图7
2 远程桌面网关服务器部署及配置
申请证书后
接下来就可以部署远程桌面网关角色了在RDGATEWAY上打开服务器管理器如图8所示点击“添加角色”
查看原图(大图)
图8
在图9所示
角色列表中选择“远程桌面服务”
查看原图(大图)
图9
如图10所示
在远程桌面服务角色服务中勾选“远程桌面网关”向导提示要部署远程桌面网关还需要安装IISNAP等组件选择“添加所需角色服务”安装向导会自动安装所需组件 
查看原图(大图)
图10
如图11所示
接下来要为远程桌面网关选择服务器证书选择服务器上计算机证书rdgateway.contoso.com点击“导入”就为远程桌面网关完成证书设置了如果我们选择自签名证书那会遇到个麻烦就是客户机并不信任自签名证书颁发机构我们还需要手工为客户机设置受信任证书颁发机构因此在实际生产环境下最好还是在企业内部署个CA服务器
查看原图(大图)
图11
远程桌面网关服务器导入证书后
接下来需要设置策略我们需要为远程桌面网关创建CAP和RAP策略如图12所示我们选择现在就创建策略
查看原图(大图)
图12
如图13所示
我们需要为远程桌面网关服务器设置用户组这些用户组可以通过远程桌面网关访问到内网网络资源默认用户组是administrators我们添加了Do
Users组这样任何域用户都可以使用远程桌面网关了
查看原图(大图)
图13
如图14所示
接下来我们需要创建个CAP策略CAP策略指是远程桌面连接授权策略CAP策略用于指定连接到远程桌面网关服务器用户我们在图13中设置用户组将被CAP策略允许连接到远程桌面网关服务器在图14中我们还要设置用户进行身份验证方式勾选“密码”作为身份验证方式
查看原图(大图)
图14
设置完CAP后
接下来需要设置RAP策略RAP策略是远程桌面资源授权策略用于指定远程用户通过远程桌面网关访问到内网网络资源图13中指定用户将被授权访问内网资源
查看原图(大图)
图15
CAP和RAP策略需要有网络策略服务器
支持如图16所示向导自动勾选了“网络策略服务器”角色点击“下步”可以进行安装
查看原图(大图)
图16
如图17所示
角色服务中还需要有IIS7向导中对IIS7功能进行了简单描述点击“下步”可以看到IIS7中所需具体组件
查看原图(大图)
图17
如图18所示
向导中列出了IIS7中所需要组件详细清单般情况下我们不需要进行修改
查看原图(大图)
图18
如图19所示
确认所要进行组件安装是正确点击“安装”按钮开始远程桌面网关角色安装
查看原图(大图)
图19
3 远程桌面网关测试
部署完远程桌面网关后
我们在客户机上测试下效果本次实验我们就不设计防火墙及外网客户机了直接用内网XP客户机测试下在XP客户机附件中打开远程桌面连接如图20所示在常规标签中输入远程桌面服务器计算机名“TSERVER.CONTOSO.COM”
图20
如图21所示
切换到远程桌面客户端高级标签点击“设置”在TS网关设置中输入“RDGATEWAY.CONTOSO.COM”
图21
如图22所示
我们以域管理员凭证完成身份验证其实按照我们在CAP和RAP策略中设置任何个域用户都被允许连接到远程桌面网关服务器
图22
如图23所示
XP客户机通过远程桌面网关连接到了内网桌面桌面服务器我们得到了远程桌面服务器服务器桌面远程桌面网关成功地把用户访问请求重定向到内网远程桌面服务器上
查看原图(大图)
图23
如图24所示
在XP客户机上输入 netstat -n从输出结果可以看出XP客户机确实是使用HTTPS协议连接到远程桌面网关服务器443端口
查看原图(大图)
图24
在远程桌面网关服务器上打开RD网关管理器
如图25所示我们可以从管理器中看到当前有个用户连接到远程桌面网关服务器这个用户最终目标是内网远程桌面服务器
查看原图(大图)
图25
出处http://yuelei.blog.51cto.com/202879/309092
最新评论