远程桌面服务是Windows Server 2008 R2中的一个角色服务,它让你可以将业务应用的范围扩展到互联网上。不用费多大力气,安装到RDS服务器上的应用几乎就可以通过网络连接交付到任意地点。
当客户端和服务器连接都位于受保护网络中时,RDS本身通常是足够的。但是让这些应用安全地扩展到互联网上则需要远程桌面网关角色服务的附加支持。
这个角色服务可以以多种配置部署,最有效的配置利用面向互联网的DMZ,联合反向代理解决方案,比如微软的Forefront威胁管理网关或都统一访问网关。
提醒一下,这些额外的服务器并非是绝对必要的。如果优先需要绝对安全,这些服务器的确是个好主意。向现有的RDS环境添加RDG有四种普遍接受的设计。一种选择是威胁管理网关或统一访问网关的反向代理支持,这也被认为是行业最佳实践。如果你想让所有事情都安装好且正常工作,下面是按步操作的教程:
1、获得一个服务器证书。传输层安全(TLS)1.0用来加密RDG服务器与相连客户端间的通讯。为了让TLS执行。你将需要获得SSL兼容的X.509服务器证书,它将安装在RDG服务器上。虽然创建自签名的证书是可行的,但是一般的最佳实践是使用从通用凭证管理中心处已经获得的证书,它参与到微软的根证书课程成员活动中。
2、搭建新的RDG服务器并安装证书。作为RDS环境中安全基础设施的一部分,这个服务器应该专门作为一个RDG服务器运行。这个服务器将运行安装了RDS角色和RDG角色的Windows Server 2008 R2。它还应该添加到你LAN中使用的活动目录域中。安装角色服务之前,每一步是安装你获得的证书。仔细留意证书安装的位置。这必须安装在本地电脑的Personal Store,这样易于RDG访问。注意,这不是现有用户的Personal Store,有时候为了安装它可以设置成默认位置。
3、安装RDG角色服务。证书安装好了,导航到服务器管理器,安装RDS角色和RDG角色服务。安装会要使用的证书。第二步中安装的证书应该可以在导航面板获得。如果不能,它要么没有安装,要么就是装到了错误的位置上。选择网关用户组,它可以通过RDG访问到内部的RDS资源。
你还会接到要创建一个远程桌面连接授权策略(RD CAP)和远程桌面资源授权策略 (RD RAP)的要求。RD CAP指定哪个用户可以通过哪种授权方法(密码、智能卡或两个同时使用)来访问到RDG。RD RAP指定这些用户在得到授权后可以对哪些内部资源进行操作。这要么是计算机的一个活动目录组,要么是网络中的所有计算机。为剩余的所有导航页选择默认。
4、调整RD CAP和RD RAP设置。RDG这时候完成安装了。你安装后的下一步是调整所有在服务器管理器中远程桌面网关管理器下面可以找到的所有RD CAP和RD RAP设置。向下导航到连接授权和资源授权策略来打开导航中创建的策略。双击任一策略都会带你前往它的控制面板来进行更多配置,比如设备重定向、附加要求、超时设定、网络资源、用户组和许可端口。注意,这些RD CAP和RD RAP设置提供一种机制来限制多种用户体验设置在互联网上的连接,比如限制到本地硬盘驱动的访问。当用户通过不受信网络连接时它们可以用来加强安全。
5、配置反向代理。由于RDG作为外部客户端和内部资源间的授权点运行,在DMZ中定位它就增加了维护其内部域成员的复杂性。因此,在DMZ中用LAN内部的RDG定位一个反向代既提供了技术又提供了网络资源,可以用来完成它们做得最好的事情。你的下一步是配置反向代理服务器,启用其中的设置来切换到内部RDG的通讯。如果这个反向代理是一个微软威胁管理网关,你可以查看这里详细的按步操作教程。你还可以查看微软统一访问网关的按步操作配置。
6、重配置RemoteApp来和RDG一起使用。最后一步就需要配置所有发布的RemoteApp来通过RDG指向它们的连接。在远程应用管理器中,查看任一已配置远程应用的属性。选择远程网关栏,移动单选按钮来使用这些远程网关服务器设置。键入一个可外部解析的服务器名称和登录方法。你可以选择启用RDG和托管该RemoteApp的RDSH服务器间的单点登录。如果你希望从LAN处链接时,LAN客户端直接连接到这个RemoteApp(不通过RDG),你还可以针对本地地址选择旁路远程桌面网关服务器。一旦完成,向客户端重新发布这些RDP或MSI文件,这样它们才能重新识别新的配置。
如果你正确地执行了所有步骤,恭喜你,你的客户端现在应该能通过互联网访问内部资源了。如果你仍然遇到问题,仔细地留意内外部客户端间DNS解析的不同之处。当外部客户端得到的DNS域和内部客户端使用的DNS域不同时,这尤其值得注意。