l 远程桌面协议(Remote desktop protocol ),简称RDP
l 远程桌面服务(Remote desktop services),简称:RDS
1.远程用户实现远程的控制和管理。
2.可以为每个远程访问的用户提供独立的操作进程,而且每个用户之间不相互干扰,为公司节约了成本。
3.在2008R2中,操作系统安装好后,系统就默认提供了远程桌面服务的核心服务。如下图
4.默认情况下,远程桌面服务只能有2个访问连接,如果想要更多的连接,需要购买微软的RDS CAL。
注意以上的2个包含了本地登录,也就是说本地登录了,那么远程访问就只能再连接一个。
5.RDS使用RDP协议,TCP 3389端口。
6.RDP协议可以通过证书加密来保证连接的安全。
7.掌握普通2008的远程桌面,和域控制的远程桌面,域控制就是要把Remote desktop users添加下。
8..在2000系统的terminal service,就是现在的远程桌面服务。
n 如果单位有N台机器需要远程桌面我们可以使用如下方法
? 解决远程桌面的证书问题。
因为远程桌面使用了自签名证书,然而自签名的证书不被任何客户端信任,因此你远程桌面连接到服务器会比较慢,并且和服务器的远程桌面没有加密存在一定的安全隐患。
要解决这个问题就是搭建CA,然后申请证书,当然了客户端要信任证书颁发机构。
我网络拓扑如下图
步骤一:安装企业CA,这部分不阐述。
步骤二:申请证书
? IIS管理器-“功能视图”—“服务器证书”
? 创建申请文件
? 注意通用名称
? 默认即可
? 填写申请文件名和保存地点,完成申请文件的创建。
? 申请证书
? 高级申请
? 提交申请文件
? 填写申请的文件(即拷贝刚才的的申请文件然后复制进去),注意一定要选择web服务器然后提交。
? 下载证书,下面的证书链是用来信任证书颁发机构的,因为我是域,域根据组策略里面自动信任。
? 安装证书,点击“完成证书申请”—浏览到刚才下载的证书,确定即可。
? 完成后效果
? 设置远程桌面加密,在证书处选择刚申请的证书。
? 测试远程桌面加密,如下图远程桌面处显示了“一把锁”。实验成功。
小节:以上我的实验是在域环境进行的,实验起来还是挺简单的,还有一点我上面申请的证书有点麻烦了,以上申请证书适用工作组,因为我是域环境其实可以直接如下申请证书。
? 创建域证书
? 填写信息
? 选择证书颁发机构
? 随意填写个好记的名称,这样就完成了申请web证书很方便。
n 公网用户远程桌面到公司服务器,解决证书加密问题。
网络拓扑如下
整体思路:
防火墙端口映射到RDS,公网用户信任CA,CA发布吊销列表:使用HTTP协议。
步骤一:搭建域,安装企业CA,不阐述。
步骤二:2008RDS加入域,安装IIS,启用远程桌面,申请web服务器证书,配置远程桌面使用web服务器证书,允许Bob远程桌面连接RDS不阐述。
步骤三:防火墙我用2008的NAT。
? 添加角色—网络策略和访问服务
? 远程路由和远程访问
? 完成后启用路由和远程访问
? 设置端口映射,勾选远程桌面
? 映射到内部RDS,确定完成远程桌面的映射。
步骤四:Bob信任CA证书颁发机构
? 防火墙80端口映射到CA,让客户进行信任CA,不阐述。
? Bob远程桌面RDS,报如下错误,这个要注意。
为什么会把这个错呢?原因是这样的bob检查证书中吊销列表,而吊销列表是通过证书中的CRL的分发点来获得地址,如下图
从上图可知CRL是ldap,这是真对域里面,但是我BOB是工作组,那怎么办呢?
解决方法如下
? 在证书颁发机构中使用http来发布CRL,这样公网上的客户端就可以http来访问到CRL。
? 重启证书服务
? 因为更新了CA的属性,那么我们就要手动发布下CRL
? 2008-RDS服务器重新申请下证书,不阐述,完成后如下图,多了http形式的。
? 远程桌面重新选择证书
? 公网工作组的bob想用证书中的FQDN名2008RDS.abc.com进行访问2008RDS
我利用hosts文件进行把2008RDS.abc.com解析到防火墙的OUT网卡
因为bob要检查证书中的吊销列表,前面我们添加了吊销列表通过http访问,因此bob访问这个证书吊销列表的地址也必须要解析到防火墙的OUT网卡
? 测试公网工作组的bob访问2008RDS
实验完美成功。呵呵
--------次文档由联科教育(
http://www.iLync.cn)学员
莫振华原创提供,如有问题请咨询我们的专家团队!-----
转载于:https://blog.51cto.com/ilync/1128992