大家好!在此视频中,我将演示设置远程桌面服务网关服务器所需的步骤。如果您希望允许企业级防火墙之外的用户访问 RDS 环境,则 RDS 网关服务器非常有用。RDS 网关服务器使用 SSL 对客户端与 RDS 服务器之间的通信进行加密。
这要归功于最终用户设备信任的 RDS 网关服务器上安装的证书。RDS 网关组件的另一部分是 IIS,IIS 用于身份验证。借助 IIS,我们可以创建某些策略来精细地定义哪些用户应有权访问哪些资源。我稍后也会在本视频中展示这一点。在本演示中,我们假设已有 RDS 部署。
如果您需要有关从头开始设置基本或高级 RDS 部署的更多信息,我建议您查看本系列的前几个视频。这里展示的是我将使用的虚拟机。“RDSlab-DC”是域控制器。它还安装了 RD 授权角色。其他所有虚拟机均已加入此域控制器托管的域中。“RDSlab-CB”是部署的连接代理。“SH1”和“SH2”是服务器场中的会话宿主。另一个虚拟机我将其命名为“RDSFarm”,我将把它配置为 RDS 网关服务器。它还承载 RD Web 访问角色。我使用这五行 PowerShell 代码创建了这个 RDS 环境,这些内容已包含在视频描述中,并在之前的视频中讨论过。
因此,为了设置 RD 网关服务器,我将打开托管部署的连接代理角色的虚拟机的控制台。打开“服务器管理器”,然后单击“远程桌面服务”节点。“服务器”部分显示为此部署配置了除 RD 网关角色之外的所有角色。正因如此,此角色在 Overview 部分下会显示绿色加号,表示它有待部署。
为进行设置,首先将该角色添加到目标服务器。单击“管理”,然后单击“添加角色和功能”。选择“基于角色或基于功能的安装”,我将为此部署中的 RD 网关角色选择目标服务器,然后单击“下一步”。展开“远程桌面服务”,然后单击“远程桌面网关”复选框。单击“添加功能”以安装前提条件,然后在确认屏幕上单击“下一步”,最后单击“安装”。等待它完成安装,然后单击“关闭”。回到服务器管理器中,如果我单击刷新部署,则没有任何变化。这是因为已安装二进制文件,但部署本身尚未配置 RD 网关服务器。
因此,要解决此问题,请单击“RD 网关”上方的绿色加号以启动向导。选择将配置为 RD 网关的服务器,将其移至右侧,然后单击“下一步”。此向导将要求配置自签名证书,我需要在此处输入该证书使用者的完全限定域名。不过,这不是我将用于此演示的证书。现在,单击“下一步”。单击“Add”以确认添加到部署中。等待它完成角色安装,然后注意指示需要配置证书的警告,但暂时单击关闭。再次刷新部署会显示,现在“部署概述”下存在一个 RD 网关服务器,单击“任务”,然后单击“编辑部署属性”。请注意,“RD 网关”部分已自动配置了一些设置。单击“证书”节点,请注意没有为 RD Web 访问或 RD 网关角色配置证书。我先单击“RD Gateway”角色。这个选项用于创建新证书。
出于测试目的,可以使用在此处创建的自签名证书,或者类似于在向导前面自动创建的证书。在本演示中,我将配置来自受信任的公共证书颁发机构的证书。这样,此证书就不必安装在客户端计算机上;他们只会信任它,开箱即用。单击此处的“Select existing certificate”。我需要输入证书的路径。在本演示中,我已将它复制到域控制器中 C 盘根目录。然后,我将输入用于保存密码的密码,单击以选中此“允许”复选框,然后单击“确定”。请注意部署配置屏幕中的“准备应用”状态。
我们单击“Apply”。片刻之后,屏幕会显示操作已成功完成,并且级别列会将证书识别为受信任。如果我使用的是自签名证书,其显示方式会有所不同。我们将应用证书,但它将显示为不受信任,我必须将该证书复制到客户端计算机,然后安装它。这是使用基于域的证书或公共证书颁发机构证书(如本演示中所示)的主要好处之一。单击此处的“查看详细信息”将显示证书的主题,该主题恰好是 RD 网关虚拟机的 Windows 主机名。我将为 RD Web 访问角色重复这些步骤,以便将相同的证书用于 IIS。然后单击“OK”退出部署配置屏幕。
这就是我们需要在连接代理中执行的全部操作。下一步是配置连接授权策略及资源授权策略。在创建它们时,我将详细讨论这一点。现在,我将切换到 RDS 网关虚拟机。打开服务器管理器,单击“工具”、“远程桌面服务”,然后单击“远程桌面网关管理器”。首先,让我们调整“服务器场”选项卡下的服务器属性。让我们添加此 RD 网关服务器,然后单击“应用”。
此有关负载均衡器的错误是预期的。在本演示中,我没有对 RD 网关服务进行负载均衡,它只是一个 RD 网关服务器,因此只需再单击一次“确定”、“应用”,状态现在显示为“确定”。在“SSL 证书”选项卡中,我可以查看和更改 RD 网关服务器的证书配置,甚至可以在需要时创建新的自签名证书。但是,所有这些都已在连接代理中配置,因此单击“OK”退出属性屏幕。返回到 RD 网关管理器的主屏幕,展开服务器,然后展开“策略”。
此上下文中有两种类型的策略,如下所示:“连接授权策略”允许您指定允许谁连接到此 RDS 网关服务器,而“资源授权策略”允许您指定授权用户有权访问哪些服务器或计算机。简而言之,一个策略针对谁将拥有访问权限,另一个策略针对的是他们有权访问哪些内容。右键单击“Connection Authorization Policies”,然后单击“Create New Policy”,再单击“Wizard”。您可以单独创建策略,但我将遵循此处的建议选项,即在同一向导中创建远程桌面连接授权策略和远程桌面资源授权策略,然后单击“Next”。输入 RD CAP 的名称,单击“下一步”,单击“添加组”,然后输入包含将允许连接的用户的组的名称。在此演示中,我将输入“Domain Users”,然后单击“Next”。我通过单击两个屏幕以及摘要屏幕上的“下一步”,保留“设备重定向”和“会话超时”步骤中的默认值,然后继续执行 RD 资源授权策略。输入名称,单击“下一步”。
保留“User Groups”部分中的默认值,然后单击“Next”。同样,在“Network Resource”屏幕中,如果我有一个 Active Directory 组,其中包含我可以指定的此 RDS 部署的会话主机服务器的计算机帐户。但是,对于此演示,我将只选择“允许用户连接到任何网络资源或计算机”选项,然后单击“下一步”。我将保留互联网网关与 RDS 会话主机通信的默认端口 3389,然后单击“Next”。单击摘要屏幕中的“Finish”,然后单击“Close”。因此,此时此 RDS 网关服务器已准备好放置在防火墙之外,面向互联网用户。尝试通过 Internet 从家庭或远程办公室位置连接到 RDS 会话主机的用户需要先通过此 RDS 网关服务器。
我将在此处演示通过与 RD 网关服务器的链接完全不同的链接连接到 Internet 的这台客户端计算机上,远程用户需要如何在远程桌面连接应用上设置连接。首先输入 RD 会话主机的名称,请记住,此会话主机不面向互联网,因此请单击“显示选项”按钮、“高级”选项卡和“从任意位置连接”部分。点击“设置”。单击“使用这些 RD 网关服务器设置”单选按钮,然后输入 RDS 网关的公共 DNS 名称。
为确保此设置可以正常工作,这个公共 DNS 名称应该解析为分配给 RDS 网关机器的公用 IP 地址。这需要在当前使用的公共 DNS 服务的设置中进行配置。我还将单击以取消选中“为本地地址绕过 RD 网关”,并检查远程计算机的 RD 网关凭据,因为这两台计算机的凭据相同。然后单击“确定”和“连接”。输入域用户名和密码,我们可以看到连接成功。请注意,我们不必在客户端机器上安装任何证书。
也没有任何消息警告我们信任客户想要连接的机器。这是因为我们使用的证书来自受信任的公共证书颁发机构。返回 RDS 网关管理器中的 RDS 网关计算机,在“监视”下,我们可以看到连接详细信息。此外,在终端服务网关操作日志中的事件查看器中,请注意记录这些步骤的一系列事件。事件 312 显示从客户端计算机启动的连接,事件 200 显示所使用的凭据符合连接授权策略。事件 300 表明也满足了资源授权策略,因此已授权访问,最后事件 302 表明连接成功,并且连接协议为 HTTP。
这是因为客户端和 RDS 网关之间的流量是通过 HTTPS 进行的,HTTPS 使用加密进行安全通信。如果 RDS 网关计算机位于防火墙或网络设备后面,则唯一需要允许进入的端口是 443。在本演示所用的路由器设备中,我就是这样设置的。它刚刚配置为将端口 443 转发到 RDS 网关计算机。因此,这是一个关于如何将 RDS 网关服务器集成到标准远程桌面服务部署的演示,以允许从家庭或其他公共互联网位置进行安全加密访问。
衷心希望本视频对大家有所帮助,也非常感谢您观看本视频。