l 远程桌面协议(Remote desktop protocol ),简称RDP
l 远程桌面服务(Remote desktop services),简称:RDS
1.远程用户实现远程的控制和管理。
2.可以为每个远程访问的用户提供独立的操作进程,而且每个用户之间不相互干扰,为公司节约了成本。
3.在2008R2中,操作系统安装好后,系统就默认提供了远程桌面服务的核心服务。如下图
clip_p_w_picpath002
4.默认情况下,远程桌面服务只能有2个访问连接,如果想要更多的连接,需要购买微软的RDS CAL。
clip_p_w_picpath004
注意以上的2个包含了本地登录,也就是说本地登录了,那么远程访问就只能再连接一个。
5.RDS使用RDP协议,TCP 3389端口。
6.RDP协议可以通过证书加密来保证连接的安全。
7.掌握普通2008的远程桌面,和域控制的远程桌面,域控制就是要把Remote desktop users添加下。
clip_p_w_picpath006
8..在2000系统的terminal service,就是现在的远程桌面服务。
n 如果单位有N台机器需要远程桌面我们可以使用如下方法
clip_p_w_picpath008
? 解决远程桌面的证书问题。
因为远程桌面使用了自签名证书,然而自签名的证书不被任何客户端信任,因此你远程桌面连接到服务器会比较慢,并且和服务器的远程桌面没有加密存在一定的安全隐患。
要解决这个问题就是搭建CA,然后申请证书,当然了客户端要信任证书颁发机构。
clip_p_w_picpath010
我网络拓扑如下图
clip_p_w_picpath012
步骤一:安装企业CA,这部分不阐述。
步骤二:申请证书
? IIS管理器-“功能视图”—“服务器证书”
clip_p_w_picpath014
? 创建申请文件
clip_p_w_picpath016
? 注意通用名称
clip_p_w_picpath018
? 默认即可
clip_p_w_picpath020
? 填写申请文件名和保存地点,完成申请文件的创建。
clip_p_w_picpath022
? 申请证书
clip_p_w_picpath024
? 高级申请
clip_p_w_picpath026
? 提交申请文件
clip_p_w_picpath028
? 填写申请的文件(即拷贝刚才的的申请文件然后复制进去),注意一定要选择web服务器然后提交。
clip_p_w_picpath030
? 下载证书,下面的证书链是用来信任证书颁发机构的,因为我是域,域根据组策略里面自动信任。
clip_p_w_picpath032
? 安装证书,点击“完成证书申请”—浏览到刚才下载的证书,确定即可。
clip_p_w_picpath034
? 完成后效果
clip_p_w_picpath036
? 设置远程桌面加密,在证书处选择刚申请的证书。
clip_p_w_picpath038
? 测试远程桌面加密,如下图远程桌面处显示了“一把锁”。实验成功。
clip_p_w_picpath040
clip_p_w_picpath042
小节:以上我的实验是在域环境进行的,实验起来还是挺简单的,还有一点我上面申请的证书有点麻烦了,以上申请证书适用工作组,因为我是域环境其实可以直接如下申请证书。
? 创建域证书
clip_p_w_picpath044
? 填写信息
clip_p_w_picpath046
? 选择证书颁发机构
clip_p_w_picpath048
? 随意填写个好记的名称,这样就完成了申请web证书很方便。
clip_p_w_picpath050
n 公网用户远程桌面到公司服务器,解决证书加密问题。
网络拓扑如下
整体思路:
防火墙端口映射到RDS,公网用户信任CA,CA发布吊销列表:使用HTTP协议。
clip_p_w_picpath052
步骤一:搭建域,安装企业CA,不阐述。
步骤二:2008RDS加入域,安装IIS,启用远程桌面,申请web服务器证书,配置远程桌面使用web服务器证书,允许Bob远程桌面连接RDS不阐述。
步骤三:防火墙我用2008的NAT。
? 添加角色—网络策略和访问服务
clip_p_w_picpath054
? 远程路由和远程访问
clip_p_w_picpath056
? 完成后启用路由和远程访问
clip_p_w_picpath058
? 设置端口映射,勾选远程桌面
clip_p_w_picpath060
? 映射到内部RDS,确定完成远程桌面的映射。
clip_p_w_picpath062
步骤四:Bob信任CA证书颁发机构
? 防火墙80端口映射到CA,让客户进行信任CA,不阐述。
clip_p_w_picpath064
? Bob远程桌面RDS,报如下错误,这个要注意。
clip_p_w_picpath066
为什么会把这个错呢?原因是这样的bob检查证书中吊销列表,而吊销列表是通过证书中的CRL的分发点来获得地址,如下图
clip_p_w_picpath068
从上图可知CRL是ldap,这是真对域里面,但是我BOB是工作组,那怎么办呢?
解决方法如下
? 在证书颁发机构中使用http来发布CRL,这样公网上的客户端就可以http来访问到CRL。
clip_p_w_picpath070
? 重启证书服务
clip_p_w_picpath072
? 因为更新了CA的属性,那么我们就要手动发布下CRL
clip_p_w_picpath074
? 2008-RDS服务器重新申请下证书,不阐述,完成后如下图,多了http形式的。
clip_p_w_picpath076
? 远程桌面重新选择证书
clip_p_w_picpath078
? 公网工作组的bob想用证书中的FQDN名2008RDS.abc.com进行访问2008RDS
我利用hosts文件进行把2008RDS.abc.com解析到防火墙的OUT网卡
因为bob要检查证书中的吊销列表,前面我们添加了吊销列表通过http访问,因此bob访问这个证书吊销列表的地址也必须要解析到防火墙的OUT网卡
clip_p_w_picpath080
clip_p_w_picpath082
? 测试公网工作组的bob访问2008RDS
clip_p_w_picpath084
clip_p_w_picpath086
clip_p_w_picpath088
实验完美成功。呵呵
--------次文档由联科教育( http://www.iLync.cn)学员 莫振华原创提供,如有问题请咨询我们的专家团队!-----