RD網關部署說明

本文轉載自查看原文 2015-06-02 17:21 5193 Windows Server/ 虛擬化

RD網關部署說明

文檔變更記錄

日期	版本	作者	內容	備注
2013/11/12	0.1		背景	新建
2013/11/26	0.2		實驗步驟章節補充圖片及過程
2013/11/27	0.3		調研用代碼可以實現的步驟
2013/11/29	0.4

一、背景

實現通過RD網關服務器實現外網訪問內網的遠程桌面。

1.1遠程桌面網關

遠程桌面網關（RD 網關）是一項角色服務，使授權遠程用戶可以從任何連接到 Internet 並且可以運行遠程桌面連接 (RDC) 客戶端的設備連接到內部企業網絡或專用網絡上的資源。網絡資源可以是遠程桌面會話主機（RD 會話主機）服務器、運行 RemoteApp 程序的RD 會話主機服務器或啟用了遠程桌面的計算機。

RD 網關使用 HTTPS 上的遠程桌面協議 (RDP) 在 Internet 上的遠程用戶與運行其生產力應用程序的內部網絡資源之間建立安全的加密連接。

1.2為什么使用遠程桌面網關？

RD 網關有許多優點，其中包括：

通過 RD 網關，遠程用戶可以使用加密連接，通過 Internet 連接到內部網絡資源，而不必配置虛擬專用網絡 (VPN) 連接。

RD 網關提供全面的安全配置模型，使您可以控制對特定內部網絡資源的訪問。RD 網關提供點對點的 RDP 連接，而不是允許遠程用戶訪問所有內部網絡資源。

通過 RD 網關，大多數遠程用戶可以連接到在專用網絡中的防火牆后面或跨網絡地址轉換程序 (NAT) 托管的內部網絡資源。在此方案中，通過 RD 網關，不必對 RD 網關服務器或客戶端執行其他配置。

在此版本的 Windows Server 之前，采用安全措施來阻止遠程用戶跨防火牆和 NAT 連接到內部網絡資源。這是由於出於網絡安全考慮，通常阻止端口 3389（用於 RDP 連接的端口）。RD 網關使用 HTTP 安全套接字層/傳輸層安全 (SSL/TLS) 隧道將 RDP 通信傳輸到端口 443。由於大多數公司打開端口 443 來支持 Internet 連接，所以，RD 網關利用此網絡設計提供跨多個防火牆的遠程訪問連接。

通過遠程桌面網關管理器可以配置授權策略，以定義遠程用戶要連接到內部網絡資源必須滿足的條件。例如，可以指定：

可以連接到內部網絡資源的用戶（即，可以連接的用戶組）。

用戶可以連接到的網絡資源（計算機組）。

客戶端計算機是否必須是 Active Directory 安全組的成員。

是否允許設備的重定向。

客戶端需要使用智能卡身份驗證還是密碼身份驗證，還是可以使用任一方法。

可以將 RD 網關服務器和遠程桌面服務客戶端配置為使用網絡訪問保護 (NAP) 來進一步增強安全性。NAP 是 Windows Server® 2008 R2、Windows Server® 2008、Windows® 7、Windows Vista® 和 Windows(R) XP Service Pack 3 中包含的運行狀況策略創建、強制和補救技術。通過 NAP，系統管理員可以強制運行狀況要求，可以包括軟件要求、安全更新要求、所需的計算機配置以及其他設置。

note備注

如果 RD 網關強制 NAP，則運行 Windows Server 2008 R2 或 Windows Server 2008 的計算機不能作為 NAP 客戶端使用。如果 RD 網關強制 NAP，則僅運行 Windows 7、Windows Vista 或 Windows XP SP3 的計算機可以作為 NAP 客戶端使用。

有關如何將 RD 網關配置為使用 NAP 對連接到 RD 網關服務器的遠程桌面服務客戶端強制運行狀況策略的信息，請參閱 Windows Server 2008 R2 技術中心上的"遠程桌面服務"頁 [http://go.microsoft.com/fwlink/?linkid=140433（可能為英文網頁）]。

可以將 RD 網關服務器與 Microsoft Internet Security and Acceleration (ISA) 服務器一起使用來提高安全性。在此方案中，可以在專用網絡中（而不是在外圍網絡中）托管 RD 網關服務器，且可以在外圍網絡中托管 ISA 服務器。遠程桌面服務客戶端與 ISA 服務器之間的安全套接字層 (SSL) 連接可以在連接到 Internet 的 ISA 服務器上終止。

有關如何將 ISA 服務器配置為 RD 網關服務器方案的 SSL 終結設備的信息，請參閱 Windows Server 2008 R2 技術中心上的"遠程桌面服務"頁 [http://go.microsoft.com/fwlink/?linkid=140433（可能為英文網頁）]。

遠程桌面網關管理器提供的工具幫助您監視 RD 網關服務器狀態和事件。通過使用遠程桌面網關管理器，可以指定為了進行審核要監視的事件（例如嘗試連接到 RD 網關服務器不成功）。

1.3配置遠程桌面網關

此清單列出了要成功地為 RD 網關核心方案配置 RD 網關需要完成的任務。通過此方案，可以配置 RD 網關服務器，使遠程用戶可以通過 RD 網關服務器，從 Internet 訪問內部公司網絡資源或專用網絡資源。在此方案中，內部網絡資源可以是遠程桌面會話主機（RD 會話主機）服務器、運行 RemoteApp 程序的RD 會話主機服務器或啟用了遠程桌面的計算機。

配置步驟
安裝遠程桌面網關角色服務。
獲取 RD 網關服務器的證書。
創建遠程桌面連接授權策略 (RD CAP)。
創建遠程桌面資源授權策略 (RD RAP)。
配置 RD 網關的遠程桌面服務客戶端。

有關 RD 網關的詳細信息，請參見 Windows Server 2008 R2 TechCenter 上的遠程桌面服務頁 (http://go.microsoft.com/fwlink/?LinkId=140433)。

1.4安裝遠程桌面網關的先決條件

若要正常使用 RD 網關，必須滿足下列先決條件：

必須擁有安裝了 Windows Server 2008 R2 的服務器。

在您要配置的 RD 網關服務器上具有本地"管理員"組成員身份（或同等身份），是完成此過程的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組 (http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

必須為 RD 網關服務器獲取安全套接字層 (SSL) 證書（如果還沒有該證書）。默認情況下，在 RD 網關服務器上，Internet 信息服務 (IIS) 服務使用傳輸層安全 (TLS) 1.0 對通過 Internet 在客戶端與 RD 網關服務器之間進行的通信加密。若要正常使用 TLS，必須在 RD 網關服務器上安裝 SSL 證書。

note備注

如果可以使用其他方法獲取符合 RD 網關的要求的外部信任證書，則不需要在組織中部署證書頒發機構 (CA) 基礎結構。如果您的公司沒有獨立 CA 或企業 CA，並且您沒有受信任公用 CA 頒發的兼容證書，則可以為 RD 網關服務器創建並導入自簽名證書，以便進行技術評估和測試。有關詳細信息，請參閱為遠程桌面網關服務器創建自簽名證書。

有關 RD 網關的證書要求以及如何獲取並安裝證書的信息，請參閱獲取遠程桌面網關服務器的證書。

如果配置的 RD 網關授權策略要求客戶端計算機上的用戶是 Active Directory 安全組的成員，才能連接到 RD 網關服務器，則 RD 網關服務器必須也是 Active Directory 域的成員。

角色、角色服務和功能的依存關系

若要正常使用 RD 網關，要求安裝並運行多個角色服務和功能。使用服務器管理器安裝 RD 網關角色服務時，將自動安裝並啟動下列附加的角色、角色服務和功能（如果尚未安裝）：

HTTP 代理上的遠程過程調用 (RPC)

Web 服務器 (IIS) [Internet 信息服務]

若要正常使用 HTTP 代理上的 RPC 功能，必須安裝並運行 IIS。

網絡策略和訪問服務

還可以將 RD 網關配置為使用另一台運行網絡策略服務器 (NPS) 服務的服務器上存儲的遠程桌面連接授權策略 (RD CAP)。這樣，您將使用運行 NPS 的服務器（以前稱為遠程身份驗證撥入用戶服務 (RADIUS) 服務器）來集中存儲、管理和驗證RD CAP。如果已為遠程訪問方案（例如 VPN 和撥號網絡）部署了運行 NPS 的服務器，則對 RD 網關方案同樣使用這個現有的運行 NPS 的服務器，可以增強您的部署。

二、實驗環境

2.1 實驗環境

服務器名稱	系統	功能	備注
AD 192.168.10.1	Windows Server 2012	AD域服務，AD證書服務	VMHost2上虛機
RD 192.168.10.14 10.0.1.1	Windows Server 2012	RD網關服務器	VMHost2上虛機
RD01 192.168.0.15 10.0.1.3	Windows Server 2012	RD網關服務器	VMHost2上虛機
Win-TTLSA6FVTKG 192.168.10.22	Windows 7 32 sp1	遠程桌面	VMHost1上虛機
Win-J3SKRGLCDLT 10.0.1.2	Windows 7 32 sp1	客戶端	VMHost3上虛機