06-WindowsServer2012R2会话远程桌⾯-标准部署-RD⽹关
(RemoteApp)
Windows Server 2012 R2 会话远程桌⾯-标准部署-RD⽹关(RemoteApp)
马博峰
⼀、什么是RD⽹关
远程桌⾯⽹关(RD ⽹关),在早期版本的远程桌⾯连接中称为TS⽹关,在Windows server 2012 R2中成为Remote Desktop Gateway Server,RD⽹关使授权的远程⽤户能够从任何联⽹设备连接到内部企业⽹络上的资源。RD ⽹关使⽤远程桌⾯协议 (RDP)和HTTPS 协议帮助创建⼀个更安全的加密连接,简单来说,如果企业内部⽹络有多个远程桌⾯(终端服务器)要发布到Internet,在通常的情况下,是需要将这些远程桌⾯服务器通过防⽕墙发布到Internet(使⽤不同的端⼝),Internet上的⽤户使⽤不同的端⼝连接到不同的内⽹服务器。⽽在Windows Server 2012 R2中,通过配置RD⽹关,可以让Internet使⽤“远程桌⾯连接”程序,通过RD⽹关服务器直接连接到内⽹的多个远程桌⾯计算机。
在早期版本的远程桌⾯连接中,⽤户⽆法通过防⽕墙和⽹络地址转换器连接到远程计算机,这是因为通常会阻⽌⽤于远程桌⾯连接的端⼝3389 以增强⽹络安全性。但是,RD ⽹关服务器使⽤端⼝ 443,此端⼝可
通过安全套接字层 (SSL) 隧道传输数据。
RD ⽹关服务器具有以下优点:
1、⽀持从 Internet 到公司⽹络的远程桌⾯连接,⽆须设置虚拟专⽤⽹络 (VPN) 连接。
2、⽀持跨越防⽕墙连接到远程计算机。
3、允许与计算机上运⾏的其他程序共享⽹络连接。这样,您就可以使⽤ ISP 连接⽽⾮公司⽹络来通过远程连接⽅式发送和接收数据。
4、通过远程桌⾯⽹关管理器可以配置授权策略,以定义远程⽤户要连接到内部⽹络资源必须满⾜的条件。例如,可以指定:
(1)可以连接到内部⽹络资源的⽤户(即,可以连接的⽤户组)。
(2)⽤户可以连接到的⽹络资源(计算机组)。
(3)客户端计算机是否必须是 Active Directory 安全组的成员。
(4)是否允许设备的重定向。
(5)客户端需要使⽤智能卡⾝份验证还是密码⾝份验证,还是可以使⽤任⼀⽅法。
5、可以将 RD ⽹关服务器和远程桌⾯服务客户端配置为使⽤⽹络访问保护 (NAP) 来进⼀步增强安全性(客户端必须是
XP,Vista,Windows 7,Windows 8)
6、可以利⽤RD ⽹关服务器部署内外⽹隔离⽅案。
⼆、RD⽹关部署
RD⽹关服务器通常都有2个不同的物理⽹卡对应着2个不同的IP地址,⼀个是内⽹的IP地址,另⼀个则是外⽹或者是公⽹的IP地址,其主要功能就是⽤户进⾏访问的地址的转换,从⽽安全的从企业外部⽹络访问到内⽹中。如果能巧妙的利⽤RD⽹关这个⾓⾊,就可以实现很多种功能,⽐如⼀公司内部的办公环境,员⼯的桌⾯是不能上⽹的,完全是⼀个闭塞的⼯作环境。但是部分领导要求⾃⼰的桌⾯上⽹,或者是某些应⽤程序能上⽹,但是⼜不能影响内部的环境。这种情况下,可以将RD⽹关部署在内⽹环境,⽽⽤户访问的的桌⾯或者应⽤程序服务器(RDSH和RDHV)就可以部署在能上⽹的环境,这样⽤户通过内⽹访问RD⽹关就可以安全的访问⾃⼰的应⽤和桌⾯程序。完全可以做到⽤户在内⽹环境中,⽤户的QQ程序和邮箱程序可以上⽹,其它的程序则⽆法上⽹,完全做到了内外⽹的隔离。
但是⼤部分的企业是将RD⽹关部署在企业中DMZ区,通过防⽕墙让不在公司内部的办公⼈员进⾏远程访问,从⽽取代了VPN服务器,RD ⽹关服务器可以是⼀台物理服务器,也可以是⼀台虚拟机,但是要确保RD⽹关能同时访问内⽹和外⽹。
在此次配置中,使⽤的服务器情况如下:
服务器名称操作系统IP设置功能
AD-DC.mabofeng Windows Server 2012 R2192.168.1.100域控制器
AD-DC.mabofeng Windows Server 2012 R2192.168.1.100CA证书服务器
BD-RDS.mabofeng Windows Server 2012 R2192.168.1.201远程桌⾯连接代理
RD-GW.mabofeng Windows Server 2012 R2192.168.1.76远程桌⾯⽹关
202.85.XXX.XXX
接下来就来安装远程桌⾯⽹关(RD ⽹关)⾓⾊
步骤1、⾸先以管理员的⾝份,登录到RD连接代理服务器BD-RDS.mabofeng,运⾏服务器管理器,
在服务器管理器中,点击远程桌⾯服务-概述,在概述页⾯中,可以看到部署概述,然后点击RD⽹关。
步骤2、在添加RD⽹关服务器向导中,⾸先在服务器池中选择要安装RD⽹关的服务器,要安装RD⽹关的服务器事先要叫到内⽹的域中,点击箭头将RD⽹关服务器添加到右边,然后点击下⼀步。
步骤3、在添加RD⽹关向导中命名⾃签名SSL证书,SSL证书⽤于对远程桌⾯服务客户端和RD⽹关服务器之前的通信进⾏加密。⾃签名SSL证书名称必须域RD⽹关服务器的完全限定域名(FQDN)相匹配,⽽FQDN必须与远程桌⾯服务客户端使⽤的RD⽹关服务器名称相匹配。这⾥输⼊RD-GW.mabofeng,然后点击下⼀步。
步骤4、在添加RD⽹关的却仍选择页⾯中,查看将要在服务器上安装RD⽹关⾓⾊服务器,并将会此服务器添加到部署中,然后点击添加。
步骤5、在查看进度选项中,等待RD⽹关的完成安装。
步骤6、在添加RD⽹关中的结果页⾯⾥,可以看见远程桌⾯⽹关⾓⾊服务已经安装成功,安装完成后,则还需要进简单的配置,在结果页⾯中,点击配置证书。
步骤7、在部署属性中的配置页⾯中,选择RD⽹关,点击选择现有证书,然后点击应⽤,在之前的章节中,我们介绍了如何申请证书,以同样的⽅法从域证书服务器中申请证书,然后添加到这⾥,点击确定。
步骤8、设置完成RD⽹关证书后,回到步骤6中,点击查看部署RD⽹关的属性,或者直接在步骤7中,配置玩证书后,直接点击RD⽹关,则可以查看RD⽹关的属性。在RD⽹关属性中,可以选择⽤户的登录⽅式,⼀种是密码⾝份验证,另⼀种是智能卡⾝份验证,或者是让⽤户进⾏选择。勾选对远程计算机使⽤RD⽹关凭据,当远程计算机登录RD⽹关时,则需要输⼊凭据。勾选绕过本地地址的RD⽹关服务器,如果是内⽹⽤户访问RD⽹关,则可以跳过RD⽹关服务器,直接连接到RD连接代理服务器。点击确定后。
server2012r2安装密钥激活步骤9、当完成安装RD⽹关后,在部署概述中就可以看到RD⽹关的颜⾊变成了灰⾊,⾄此,RD⽹关的部署⼯作就完成了。
三、使⽤远程桌⾯⽹关管理器配置RD⽹关
完成部署安装RD⽹关后,接下来就是需要进⾏配置RD⽹关了,配置RD⽹关需要以域管理员的⾝份登录到RD⽹关服务器中,使⽤远程桌⾯⽹关管理器进⾏配置,除此之外,还需要对服务器的防⽕墙进⾏配置,打开相应的端⼝,关闭不⽤的端⼝,这⾥就不做演⽰了,这⾥主要介绍RD⽹关的配置选项。
步骤1、在RD⽹关服务器中,打开控制⾯板,选择系统和安全,点击管理⼯具,然后点击远程桌⾯服务,在远程桌⾯服务⽂件夹中,就可以看到远程桌⾯⽹关管理器。
步骤2、远程桌⾯服务⼯具是随着RD⽹关的安装⽽安装的,在其它远程桌⾯⾓⾊中不会安装此⼯具,如果想远程管理RD⽹关,则需要在添加⾓⾊和功能向导中,选择安装远程桌⾯⽹关⼯具。
步骤4、当打开RD⽹关管理器后,就可以进⾏配置,RD⽹关管理器分为菜单栏,树状结构,显⽰⼀栏和操作⼀栏。
步骤5、在RD⽹关管理器中,右键点击RD-GW本地RD⽹关服务器,在弹出的菜单中选择属性,⾸先要对RD⽹关服务器进⾏设置。
步骤6、在RD⽹关属性中,⾸先是常规选项栏中,这⾥可以设置最⼤连接数,就是⽤户连接到RD⽹关服务器的并发数量,如果并发数量较⼤可能会降低服务器的性能,所以为了避免降低服务器的性能,可以设置允许到服务器的最⼤并发连接数限制。RD⽹关的连接总数包括了通过该服务器的所有UDP/HTTP和RPC-HTTP连接。
步骤7、在RD⽹关属性中的第⼆选项SSL证书选项中,可以设置RD⽹关的证书,RD⽹关证书是HTTPS/UDP侦听程序的安全通信和NAP 消息传送所必须的,证书会⾃动绑定到配置的HTTP和UDP端⼝,由于之前我们已经申请了证书并成功的导⼊了RD⽹关证书,所以在SSL 证书⼀栏中,显⽰了证书的详细情况。如果没有导⼊证书,可以通过执⾏⼀些操作指定要为RD⽹关服务器导⼊的SSL证书类型。
步骤8、在RD⽹关属性中的传输设置⼀栏中,设置RD⽹关的传输IP地址。可以修改HTTP和UPD的传输端⼝号码,默认为443和3391,协议RPC-HTTP和HTTP传输共享相同的设置。
步骤9、在RD⽹关属性中的RD CAP页⾯中,指定是否运⾏⽹络侧罗服务器(NPS)的本地或中⼼服务器上存储的远程桌⾯连接授权策略(RD CAP)。通过远程桌⾯连接授权策略 (RD CAP),可以指定可连接到 RD ⽹关服务器的⽤户。此过程描述如何创建新的本地RD CAP。此外,还可以指定中⼼RD CAP存储。
步骤10、在RD⽹关属性中的服务器场页⾯中,可以指定要包括在RD⽹关服务器场中的RD⽹关服务器。当在环境中部署了多个RD⽹关服务后,可将这些RD⽹关服务组成RD⽹关服务场,可以进⾏⽤户的均衡负载和⾼可⽤性。
步骤11、在RD⽹关属性中的审核页⾯中,设置为在RD⽹关中启⽤⽇志记录,并选择要记录的事件。
步骤12、在RD⽹关属性中的SSL桥接页⾯中。可以设置RD⽹关配置为可与ISA服务器或⾮微软产品⼀起使⽤,以便执⾏安全套接字层(SSL)桥接。
步骤13、在RD⽹关属性中的消息页⾯中,可以创建⼀个消息,当⽤户登录到⾃⼰应⽤或者是桌⾯时,⽤户所看到的信息。可以创建⼀个向以登陆远程计算机的⽤户显⽰的消息,也可以选择每次⽤户登录远程计算机时向⽤户显⽰的消息。可允许从⽀持RD⽹关消息的远程桌⾯客户端进⾏连接。
四、使⽤远程桌⾯⽹关管理器配置RD⽹关策略
除了对RD⽹关的设置外,还可以对使⽤登陆远程计算机的⽤户和设备进⾏设置,他与域控制器上的域策略不冲突,只是针对⽤登陆远程计算机的⽤户和设备进⾏设置,所以他分为⽤户策略和设备策略,在RD⽹关管理器中,策略选项中,可以看到连接授权策略和资源授权策略。这⾥先点击连接授权策略,默认情况下会有⼀个RDG_CAP_AllUser的策略,可以对其进⾏修改,双击RDG_CAP_AllUsers。
步骤1、在RDG_CAP_AllUsers的属性常规页⾯中,可以更改RDG_CAP_AllUsers策略的名称,并且选择是否启⽤,如果存在很多的策略,可以设置策略的顺序级。
步骤2、在RDG_CAP_AllUsers的属性要求页⾯中,可以指定⽤户链接到RD⽹关服务器必须满⾜的要求,可添加⽤户组成员⾝份和客户端计算机组成员⾝份,并选项受⽀持的windows⾝份验证⽅法⽀持密码和智能卡选项,如果选择了2种⽅法,每⼀种均可⽤于连接。
步骤3、在RDG_CAP_AllUsers的属性设备重定向页⾯中,可以对使⽤RD⽹关进⾏连接的客户端,在远程会话中指定是启⽤还是禁⽤对本地客户端设备和资源的访问,RD⽹关设备重定向⽤于运⾏远程桌⾯连接的授信任客户端。⽬前⽀持的设备重定向有驱动器、剪贴板、打印机、端⼝(仅COM和LPT)和⽀持的即插即⽤设备。
步骤4、在RDG_CAP_AllUsers的属性超时页⾯中,指定远程会话超时和重新连接设置,可以设置断开会话前空闲时间和规定⼀定时间后会话超时,可以设置在达到会话超时之后,可以断开会话连接或者默认重新对会话进⾏⾝份验证和授权。
接下来,就可以针对资源授权策略进⾏设置,资源授权策略默认的名称为RDG_ AllDmainComputers,可双击RDG_ AllDmainComputers进⾏修改。
步骤1、在RDG_ AllDmainComputers的属性常规页⾯中,使⽤RD CAP,可以指定⽤户可通过RD⽹关连接的⽹络资源(计算机),可以更改策略的名称和描述,并且选择是否启⽤。
-
步骤2、在RDG_ AllDmainComputers的属性⽤户组页⾯中,指定其成员可通过RD⽹关连接到⽹络上的远程计算机的⽤户组,点击添加即可添加⽤户组。
步骤3、在RDG_ AllDmainComputers的属性⽹络页⾯中,设置⽤户可以使⽤RD⽹关连接到⽹络资源,⽹络资源包括Active Directory域服务安全组或远程桌⾯服务器场中的计算机。可以通过选择Active Directory域服务安全组或者选择现有RD⽹关管理的组或创建新组,或者允许⽤户连接到任意⽹络资源。
步骤4、在RDG_ AllDmainComputers的属性允许使⽤的端⼝页⾯中,修改远程桌⾯客户端的端⼝,默认
情况下,远程桌⾯客户端通过端⼝3389远程连接到⽹络资源。
五、针对RD连接代理(⾼可⽤模式)配置RD⽹关
如果我们的环境中已经配置了RD连接代理(⾼可⽤性模式),则在RD⽹关服务器中,需要配置CAP和RAP,并将所有的RD连接代理服务器和RD连接代理服务集加⼊到RD⽹关中,RD⽹关的安装与⾮⾼可⽤模式的RD⽹关相同,点击RD⽹关后进⾏安装。
步骤1、在RD⽹关管理器中,点击策略,在操作⼀栏中点击新建授权策略。
步骤2、在新建授权策略向导中,为RD⽹关穿件授权策略,可以同时创建RD CAP和RD RAP策略,也可单独进⾏创建,如果同时创建RD CAP和RD RAP,⽤户⽆法通过此RD⽹关服务器连接到⽹络资源。点击下⼀步。
步骤3、在新建授权向导中的连接授权策略⾥,输⼊RD CAP的名称,点击下⼀步。
步骤4、在要求界⾯中,选择⼀个受⽀持的Windows⾝份验证⽅法,并添加关联了⽤户组和计算机组。
步骤5、在启⽤或者禁⽤设备重定向中,指定是启⽤还是禁⽤对本地客户端设备和资源的访问。
步骤6、指定远程会话的超时和重新连接设置。
步骤7、查看RD CAP摘要信息。
步骤8、在创建RD RAP中,输⼊RD RAP的名称。
步骤9、添加将与此RD RAP关联的⽤户组,这些组的成员⽤户通过RD⽹关远程连接到⽹络资源。
步骤10、这⾥选择现有RD⽹关管理的组或创建新组。
步骤11、在RD⽹关管理的组页⾯中,创建新的RD⽹关管理的计算机组并输⼊组的名称,这⾥要键⼊要添加到组的各个⽹络资源(计算机)的名称,然后点击添加,由于我们的RDCB服务器分别为RDCB01和RDCB02,并在域控制器中的DNS⾥建⽴了HARDCB,所以也要添加HARDCB。
步骤12、设置远程桌⾯的端⼝信息。
步骤13、最后⼀步,查看RD CAP摘要,然后点击完成。
步骤13、确认成功创建策略后,就可以点击关闭,⾄此为RDCB(⾼可⽤性)创建的配置CAP和RAP就完成了,通过RD⽹关进⾏访问就可以实现RDCB的切换⽽不影响RD⽹关的运作。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论