原文地址:http://wangchunhai.blog.51cto.com/225186/1139388/
遠程桌面網關(RD 網關)是一項角色服務,使授權遠程用戶可以從任何連接到 Internet 並且可以運行遠程桌面連接 (RDC) 客戶端的設備連接到內部企業網絡或專用網絡上的資源。網絡資源可以是遠程桌面會話主機(RD 會話主機)服務器、運行 RemoteApp 程序的RD 會話主機服務器或啟用了遠程桌面的計算機。
RD 網關使用 HTTPS 上的遠程桌面協議 (RDP) 在 Internet 上的遠程用戶與運行其生產力應用程序的內部網絡資源之間建立安全的加密連接。
簡單來說,如果企業內部網絡有多個遠程桌面(終端服務器)要發布到Internet,在通常的情況下,是需要將這些遠程桌面服務器通過防火牆發布到Internet(使用不同的端口),Internet上的用戶使用不同的端口連接到不同的內網服務器。而在Windows Server 2008 R2中,通過配置RD網關,可以讓Internet使用“遠程桌面連接”程序,通過RD網關服務器直接連接到內網的多個遠程桌面計算機。下面通過圖1所示的實驗拓撲進行介紹。
圖1 RD實驗拓撲
在圖1中,主機安裝Windows 8,在主機上安裝VMware Workstation 9。VM1、VM2是VMware Workstation中的兩台虛擬機,VM1安裝Windows Server 2008 R2,配置有兩塊虛擬網卡,第一塊虛擬網卡使用VMnet8,設置192.168.80.10的IP地址,另一塊虛擬網卡使用LAN Segment網卡(創建lan21),設置192.168.11.10的IP地址。另一虛擬機VM2配置一塊虛擬網卡,使用lan21,這個用來模擬內網。
在配置完RD
網關之后,192.168.80.1
的計算機可以使用“遠程桌面”直接連接到192.168.11.11
的主機,而正常情況下是不能直接連接的。
1 Windows Server 2008 R2基本配置
切換到VM1的虛擬機,重命名兩個網卡分別為wan與lan,如圖2所示。
圖2 重命名網卡
然后分別為wan與lan設置IP地址,如圖3所示。
圖2 設置wan網卡地址 圖3 設置lan網卡地址
2 申請證書
登錄一個證書服務器,為遠程桌面服務申請一個證書,首先要下載CA根證書,如圖2-11所示。
圖2-11 下載根證書
然后將下載的根證書導入“受信任的證書頒發機構”,如圖2-12所示。
圖2-12 安裝根證書
之后申請“服務器身份驗證證書”,申請名稱為“遠程桌面”會話主機對外公布的名稱,例如rc.msft.com,並且選中“標記密鑰為可導出”,如圖2-13所示。因為在Web頁申請的證書會保存在“證書-當前用戶”存儲中,而服務器證書要保存在“證書(本地計算機)”存儲中。所以需要將證書從“證書-當前用戶”存儲導出另用。
圖2-13 申請證書
然后將證書導出,並導出私鑰,如圖2-14所示。
圖2-14 導出證書
3 安裝遠程桌面服務
打開“服務器管理器”,安裝遠程桌面服務,主要步驟如下。
(1)右擊“角色”在彈出的快捷菜單中選擇“添加角色”,如圖3-4所示。
圖3-4 添加角色
(2)在“選擇服務器角色”對話框中,單擊“遠程桌面服務”復選框,如圖3-5所示。
圖3-5 選擇遠程桌面服務
(3)在“選擇角色服務”對話框,依次選中“遠程桌面會話主機”、“遠程桌面授權”、“遠程桌面網關”、“遠程桌面Web訪問”復選框,如圖3-6所示。
圖3-6 選擇角色服務
(4)在“指定遠程桌面會話主機的身份驗證方法”對話框,單擊“不需要使用網絡級別身份驗證”,如圖3-7所示。
圖3-7 指定遠程桌面會話主機身份驗證方法
(5)在“指定授權模式”對話框,選擇“每用戶”,如圖3-8所示。
圖3-8 每用戶
(6)在“選擇SSL加密的服務器身份驗證證書”對話框中,單擊“導入”按鈕,導入圖2-14中導出的證書,如圖3-9所示。
圖3-9 導入證書 圖3-10 導入后的證書
(7)其他選擇默認值,直到安裝完成,如圖3-11所示。
圖3-11 安裝完成
4 配置RD網關管理器
打開“RD網關管理器”屬性,在“SSL證書選項卡”中,選擇“將證書導入RD網關RC證書(本地計算機)/個人存儲”,單擊“瀏覽並導入證書”按鈕,選擇圖2-14中導出的證書,如圖4-11所示。
圖4-11 導入證書
然后在“服務器場”中,將當前的主機名稱(RC)添加到“RD網關服務器場成員”中,如圖4-12所示。
圖4-12 服務器場
5 遠程桌面會話主機配置
在“管理工具→遠程桌面服務”中選擇“遠程桌面會話主機配置”,在“授權”選項組中雙擊“遠程桌面授權服務器”,在“授權”選項卡中選擇“每用戶”,然后單擊“添加”按鈕添加當前主機為許可服務器,如圖5-11、圖5-12所示。
圖5-11 遠程桌面會話主機配置 圖5-12 遠程桌面授權服務器
然后雙擊“連接”選項組中的“RDP-Tcp”,在“常規”選項卡中,單擊“選擇”按鈕,選擇名為rc.msft.com的證書,如圖5-13所示。
圖5-13 選擇證書
6 客戶端驗證
在主機上,編輯hosts文件,添加rc.msft.com的解析,使其指向192.168.80.10。然后安裝根證書(為RD會話主機申請證書的證書頒發機構)。打開遠程桌面連接,連接192.168.11.11,步驟如下。
(1)打開“遠程桌面連接”程序,單擊“顯示選項”按鈕,在“高級”選項卡中,單擊“設置”按鈕,如圖6-11所示。
圖6-11 設置
(2)在“連接設置”中,單擊“使用這些RD網關服務器設置”,在“服務器名”文本框中輸入RD網關服務器的名稱rc.msft.com,如圖6-12所示。如果RD網關服務器與后台受保護的服務器的密碼相同,可以選中“將我的RD網關憑據用於遠程計算機”單選框,如果不同,則不需要選中。
圖6-12 連接設置
(3)在“常規”選項卡,在“計算機名”文本框中輸入要連接的遠程計算機,例如192.168.11.11,然后單擊“連接”按鈕,如圖6-13所示。
圖6-13 連接到遠程計算機
(4)在“RD網關服務器憑據”對話框中,輸入RD網關服務器的用戶名及密碼,然后單擊“記住我的憑據”,如圖6-14所示。
圖6-14 輸入RD網關服務器憑據
(5)之后會出現“登錄到Windows”的提示,此時登錄的是受RD網關服務器保護的內部服務器,如圖6-15所示。
圖6-15 連接到內部服務器
7 Internet用戶驗證
如果你的計算機能連接到Internet,可以讓Internet用戶進行驗證,此時實驗拓撲如圖7-10所示。
圖7-10 Internet用戶進行驗證
(1)首先修改VM1虛擬機的虛擬網卡,將原來為“NAT”的虛擬網卡修改為“橋接”,並設置IP地址、網關。我是在我家的計算機上設置的,計算機通過寬帶路由器共享上網。我暫時將Windows 2008 R2的虛擬機設置為10.10.10.102的IP地址,並設置網關地址,如圖7-11所示。
圖7-11 設置IP地址
(2)登錄寬帶路由器,映射3389與443端口到10.10.10.102,如圖7-12所示。
圖7-12 映射3389與443端口到RD主機
(3)查看當前的IP地址,本例為27.185.227.178,如圖7-13所示。
圖7-13 查看當前的IP地址
(4)登錄到遠程的一台服務器中,修改hosts文件,添加如下一行:
27.185.227.178 rc.msft.com
如圖7-14所示。
圖7-14 修改hosts文件
(5)運行“遠程桌面連接”,添加RD網關服務器,如圖7-15所示。
圖7-15 添加RD網關服務器
(6)連接到192.168.11.11,如圖7-16所示。
圖7-16 連接到遠程桌面
(7)輸入安全憑據,如圖7-17所示。
圖7-17 連接到RD網關服務器
(8)提示遠程桌面是一個早於Windows Vista的版本,如圖7-18所示。,
圖7-18 提示
(9)輸入192.168.11.11的用戶名密碼登錄,如圖7-19所示。
圖7-19 連接到遠程桌面
(10)切換到VM1的虛擬機,執行netstat -an -p tcp,可以查看遠程的連接,如圖7-20所示。
圖7-20 查看遠程的連接信息