Windows Server 2012 R2 会话远程桌面-标准部署-RD网关(RemoteApp)
马博峰
一、什么是RD网关
远程桌面网关(RD 网关),在早期版本的远程桌面连接中称为TS网关,在Windows server 2012 R2中成为Remote Desktop Gateway Server,RD网关使授权的远程用户能够从任何联网设备连接到内部企业网络上的资源。RD 网关使用远程桌面协议 (RDP)和 HTTPS 协议帮助创建一个更安全的加密连接,简单来说,如果企业内部网络有多个远程桌面(终端服务器)要发布到Internet,在通常的情况下,是需要将这些远程桌面服务器通过防火墙发布到Internet(使用不同的端口),Internet上的用户使用不同的端口连接到不同的内网服务器。而在Windows Server 2012 R2中,通过配置RD网关,可以让Internet使用“远程桌面连接”程序,通过RD网关服务器直接连接到内网的多个远程桌面计算机。
在早期版本的远程桌面连接中,用户无法通过防火墙和网络地址转换器连接到远程计算机,这是因为通常会阻止用于远程桌面连接的端口 3389 以增强网络安全性。但是,RD 网关服务器使用端口 443,此端口可通过安全套接字层 (SSL) 隧道传输数据。
RD 网关服务器具有以下优点:
1、支持从 Internet 到公司网络的远程桌面连接,无须设置虚拟专用网络 (VPN) 连接。
2、支持跨越防火墙连接到远程计算机。
3、允许与计算机上运行的其他程序共享网络连接。这样,您就可以使用 ISP 连接而非公司网络来通过远程连接方式发送和接收数据。
4、通过远程桌面网关管理器可以配置授权策略,以定义远程用户要连接到内部网络资源必须满足的条件。例如,可以指定:
(1)可以连接到内部网络资源的用户(即,可以连接的用户组)。
(2)用户可以连接到的网络资源(计算机组)。
(3)客户端计算机是否必须是 Active Directory 安全组的成员。
(4)是否允许设备的重定向。
(5)客户端需要使用智能卡身份验证还是密码身份验证,还是可以使用任一方法。
5、可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性(客户端操作系统必须是XP,Vista,Windows 7,Windows 8)
6、可以利用RD 网关服务器部署内外网隔离方案。
二、RD网关部署
RD网关服务器通常都有2个不同的物理网卡对应着2个不同的IP地址,一个是内网的IP地址,另一个则是外网或者是公网的IP地址,其主要功能就是用户进行访问的地址的转换,从而安全的从企业外部网络访问到内网中。如果能巧妙的利用RD网关这个角色,就可以实现很多种功能,比如一公司内部的办公环境,员工的桌面是不能上网的,完全是一个闭塞的工作环境。但是部分领导要求自己的桌面上网,或者是某些应用程序能上网,但是又不能影响内部的环境。这种情况下,可以将RD网关部署在内网环境,而用户访问的的桌面或者应用程序服务器(RDSH和RDHV)就可以部署在能上网的环境,这样用户通过内网访问RD网关就可以安全的访问自己的应用和桌面程序。完全可以做到用户在内网环境中,用户的QQ程序和邮箱程序可以上网,其它的程序则无法上网,完全做到了内外网的隔离。
但是大部分的企业是将RD网关部署在企业中DMZ区,通过防火墙让不在公司内部的办公人员进行远程访问,从而取代了VPN服务器,RD网关服务器可以是一台物理服务器,也可以是一台虚拟机,但是要确保RD网关能同时访问内网和外网。
在此次配置中,使用的服务器情况如下:
服务器名称 | 操作系统 | IP设置 | 功能 |
AD-DC.mabofeng.com | Windows Server 2012 R2 | 192.168.1.100 | 域控制器 |
AD-DC.mabofeng.com | Windows Server 2012 R2 | 192.168.1.100 | CA证书服务器 |
BD-RDS.mabofeng.com | Windows Server 2012 R2 | 192.168.1.201 | 远程桌面连接代理 |
RD-GW.mabofeng.com | Windows Server 2012 R2 | 192.168.1.76 | 远程桌面网关 |
202.85.XXX.XXX |
接下来就来安装远程桌面网关(RD 网关)角色
步骤1、首先以管理员的身份,登录到RD连接代理服务器BD-RDS.mabofeng.com,运行服务器管理器,在服务器管理器中,点击远程桌面服务-概述,在概述页面中,可以看到部署概述,然后点击RD网关。
步骤2、在添加RD网关服务器向导中,首先在服务器池中选择要安装RD网关的服务器,要安装RD网关的服务器事先要叫到内网的域中,点击箭头将RD网关服务器添加到右边,然后点击下一步。
步骤3、在添加RD网关向导中命名自签名SSL证书,SSL证书用于对远程桌面服务客户端和RD网关服务器之前的通信进行加密。自签名SSL证书名称必须域RD网关服务器的完全限定域名(FQDN)相匹配,而FQDN必须与远程桌面服务客户端使用的RD网关服务器名称相匹配。这里输入RD-GW.mabofeng.com,然后点击下一步。
步骤4、在添加RD网关的却仍选择页面中,查看将要在服务器上安装RD网关角色服务器,并将会此服务器添加到部署中,然后点击添加。
步骤5、在查看进度选项中,等待RD网关的完成安装。
步骤6、在添加RD网关中的结果页面里,可以看见远程桌面网关角色服务已经安装成功,安装完成后,则还需要进简单的配置,在结果页面中,点击配置证书。
步骤7、在部署属性中的配置页面中,选择RD网关,点击选择现有证书,然后点击应用,在之前的章节中,我们介绍了如何申请证书,以同样的方法从域证书服务器中申请证书,然后添加到这里,点击确定。
步骤8、设置完成RD网关证书后,回到步骤6中,点击查看部署RD网关的属性,或者直接在步骤7中,配置玩证书后,直接点击RD网关,则可以查看RD网关的属性。在RD网关属性中,可以选择用户的登录方式,一种是密码身份验证,另一种是智能卡身份验证,或者是让用户进行选择。勾选对远程计算机使用RD网关凭据,当远程计算机登录RD网关时,则需要输入凭据。勾选绕过本地地址的RD网关服务器,如果是内网用户访问RD网关,则可以跳过RD网关服务器,直接连接到RD连接代理服务器。点击确定后。
步骤9、当完成安装RD网关后,在部署概述中就可以看到RD网关的颜色变成了灰色,至此,RD网关的部署工作就完成了。
三、使用远程桌面网关管理器配置RD网关
完成部署安装RD网关后,接下来就是需要进行配置RD网关了,配置RD网关需要以域管理员的身份登录到RD网关服务器中,使用远程桌面网关管理器进行配置,除此之外,还需要对服务器的防火墙进行配置,打开相应的端口,关闭不用的端口,这里就不做演示了,这里主要介绍RD网关的配置选项。
步骤1、在RD网关服务器中,打开控制面板,选择系统和安全,点击管理工具,然后点击远程桌面服务,在远程桌面服务文件夹中,就可以看到远程桌面网关管理器。
步骤2、远程桌面服务工具是随着RD网关的安装而安装的,在其它远程桌面角色中不会安装此工具,如果想远程管理RD网关,则需要在添加角色和功能向导中,选择安装远程桌面网关工具。
步骤4、当打开RD网关管理器后,就可以进行配置,RD网关管理器分为菜单栏,树状结构,显示一栏和操作一栏。
步骤5、在RD网关管理器中,右键点击RD-GW本地RD网关服务器,在弹出的菜单中选择属性,首先要对RD网关服务器进行设置。
步骤6、在RD网关属性中,首先是常规选项栏中,这里可以设置最大连接数,就是用户连接到RD网关服务器的并发数量,如果并发数量较大可能会降低服务器的性能,所以为了避免降低服务器的性能,可以设置允许到服务器的最大并发连接数限制。RD网关的连接总数包括了通过该服务器的所有UDP/HTTP和RPC-HTTP连接。
步骤7、在RD网关属性中的第二选项SSL证书选项中,可以设置RD网关的证书,RD网关证书是HTTPS/UDP侦听程序的安全通信和NAP消息传送所必须的,证书会自动绑定到配置的HTTP和UDP端口,由于之前我们已经申请了证书并成功的导入了RD网关证书,所以在SSL证书一栏中,显示了证书的详细情况。如果没有导入证书,可以通过执行一些操作指定要为RD网关服务器导入的SSL证书类型。
步骤8、在RD网关属性中的传输设置一栏中,设置RD网关的传输IP地址。可以修改HTTP和UPD的传输端口号码,默认为443和3391,协议RPC-HTTP和HTTP传输共享相同的设置。
步骤9、在RD网关属性中的RD CAP页面中,指定是否运行网络侧罗服务器(NPS)的本地或中心服务器上存储的远程桌面连接授权策略(RD CAP)。通过远程桌面连接授权策略 (RD CAP),可以指定可连接到 RD 网关服务器的用户。此过程描述如何创建新的本地RD CAP。此外,还可以指定中心RD CAP存储。
步骤10、在RD网关属性中的服务器场页面中,可以指定要包括在RD网关服务器场中的RD网关服务器。当在环境中部署了多个RD网关服务后,可将这些RD网关服务组成RD网关服务场,可以进行用户的均衡负载和高可用性。
步骤11、在RD网关属性中的审核页面中,设置为在RD网关中启用日志记录,并选择要记录的事件。
步骤12、在RD网关属性中的SSL桥接页面中。可以设置RD网关配置为可与ISA服务器或非微软产品一起使用,以便执行安全套接字层(SSL)桥接。
步骤13、在RD网关属性中的消息页面中,可以创建一个消息,当用户登录到自己应用或者是桌面时,用户所看到的信息。可以创建一个向以登陆远程计算机的用户显示的消息,也可以选择每次用户登录远程计算机时向用户显示的消息。可允许从支持RD网关消息的远程桌面客户端进行连接。
四、使用远程桌面网关管理器配置RD网关策略
除了对RD网关的设置外,还可以对使用登陆远程计算机的用户和设备进行设置,他与域控制器上的域策略不冲突,只是针对用登陆远程计算机的用户和设备进行设置,所以他分为用户策略和设备策略,在RD网关管理器中,策略选项中,可以看到连接授权策略和资源授权策略。这里先点击连接授权策略,默认情况下会有一个RDG_CAP_AllUser的策略,可以对其进行修改,双击RDG_CAP_AllUsers。
步骤1、在RDG_CAP_AllUsers的属性常规页面中,可以更改RDG_CAP_AllUsers策略的名称,并且选择是否启用,如果存在很多的策略,可以设置策略的顺序级。
步骤2、在RDG_CAP_AllUsers的属性要求页面中,可以指定用户链接到RD网关服务器必须满足的要求,可添加用户组成员身份和客户端计算机组成员身份,并选项受支持的windows身份验证方法支持密码和智能卡选项,如果选择了2种方法,每一种均可用于连接。
步骤3、在RDG_CAP_AllUsers的属性设备重定向页面中,可以对使用RD网关进行连接的客户端,在远程会话中指定是启用还是禁用对本地客户端设备和资源的访问,RD网关设备重定向用于运行远程桌面连接的授信任客户端。目前支持的设备重定向有驱动器、剪贴板、打印机、端口(仅COM和LPT)和支持的即插即用设备。
步骤4、在RDG_CAP_AllUsers的属性超时页面中,指定远程会话超时和重新连接设置,可以设置断开会话前空闲时间和规定一定时间后会话超时,可以设置在达到会话超时之后,可以断开会话连接或者默认重新对会话进行身份验证和授权。
接下来,就可以针对资源授权策略进行设置,资源授权策略默认的名称为RDG_ AllDmainComputers,可双击RDG_ AllDmainComputers进行修改。
步骤1、在RDG_ AllDmainComputers的属性常规页面中,使用RD CAP,可以指定用户可通过RD网关连接的网络资源(计算机),可以更改策略的名称和描述,并且选择是否启用。
步骤2、在RDG_ AllDmainComputers的属性用户组页面中,指定其成员可通过RD网关连接到网络上的远程计算机的用户组,点击添加即可添加用户组。
步骤3、在RDG_ AllDmainComputers的属性网络页面中,设置用户可以使用RD网关连接到网络资源,网络资源包括Active Directory域服务安全组或远程桌面服务器场中的计算机。可以通过选择Active Directory域服务安全组或者选择现有RD网关管理的组或创建新组,或者允许用户连接到任意网络资源。
步骤4、在RDG_ AllDmainComputers的属性允许使用的端口页面中,修改远程桌面客户端的端口,默认情况下,远程桌面客户端通过端口3389远程连接到网络资源。
五、针对RD连接代理(高可用模式)配置RD网关
如果我们的环境中已经配置了RD连接代理(高可用性模式),则在RD网关服务器中,需要配置CAP和RAP,并将所有的RD连接代理服务器和RD连接代理服务群集加入到RD网关中,RD网关的安装与非高可用模式的RD网关相同,点击RD网关后进行安装。
步骤1、在RD网关管理器中,点击策略,在操作一栏中点击新建授权策略。
步骤2、在新建授权策略向导中,为RD网关穿件授权策略,可以同时创建RD CAP和RD RAP策略,也可单独进行创建,如果同时创建RD CAP和RD RAP,用户无法通过此RD网关服务器连接到网络资源。点击下一步。
步骤3、在新建授权向导中的连接授权策略里,输入RD CAP的名称,点击下一步。
步骤4、在要求界面中,选择一个受支持的Windows身份验证方法,并添加关联了用户组和计算机组。
步骤5、在启用或者禁用设备重定向中,指定是启用还是禁用对本地客户端设备和资源的访问。
步骤6、指定远程会话的超时和重新连接设置。
步骤7、查看RD CAP摘要信息。
步骤8、在创建RD RAP中,输入RD RAP的名称。
步骤9、添加将与此RD RAP关联的用户组,这些组的成员用户通过RD网关远程连接到网络资源。
步骤10、这里选择现有RD网关管理的组或创建新组。
步骤11、在RD网关管理的组页面中,创建新的RD网关管理的计算机组并输入组的名称,这里要键入要添加到组的各个网络资源(计算机)的名称,然后点击添加,由于我们的RDCB服务器分别为RDCB01和RDCB02,并在域控制器中的DNS里建立了HARDCB,所以也要添加HARDCB。
步骤12、设置远程桌面的端口信息。
步骤13、最后一步,查看RD CAP摘要,然后点击完成。
步骤13、确认成功创建策略后,就可以点击关闭,至此为RDCB(高可用性)创建的配置CAP和RAP就完成了,通过RD网关进行访问就可以实现RDCB的切换而不影响RD网关的运作。
本文出自 “让"云"无处不在” 博客,请务必保留此出处http://mabofeng.blog.51cto.com/2661587/1340954