遠程桌面網關(RD 網關)是一項角色服務,使授權遠程用戶可以從任何連接到 Internet 並且可以運行遠程桌面連接 (RDC) 客戶端的設備連接到內部企業網絡或專用網絡上的資源。網絡資源可以是遠程桌面會話主機(RD 會話主機)服務器、運行 RemoteApp 程序的RD 會話主機服務器或啓用了遠程桌面的計算機。
RD 網關使用 HTTPS 上的遠程桌面協議 (RDP) 在 Internet 上的遠程用戶與運行其生產力應用程序的內部網絡資源之間建立安全的加密連接。
簡單來說,如果企業內部網絡有多個遠程桌面(終端服務器)要發佈到Internet,在通常的情況下,是需要將這些遠程桌面服務器通過防火牆發佈到Internet(使用不同的端口),Internet上的用戶使用不同的端口連接到不同的內網服務器。而在Windows Server 2008 R2中,通過配置RD網關,可以讓Internet使用“遠程桌面連接”程序,通過RD網關服務器直接連接到內網的多個遠程桌面計算機。
網絡拓撲
下圖爲RDS服務器,位於企業內網,IP爲172.16.0.4,OS爲2008R2,計算機名爲Win2008R2-A
添加角色,我這裏之前已經安裝RDS服務,但需要添加子組件
Add roles
選擇"Remote desktop session host","remote desktop licensing","remote desktop gateway","remote desktop web access"
Next
默認,RD 網關使用SSL和客戶端建立加密連接,因此RD 網關需要有一張證書。
這裏可以向CA申請證書(推薦),也可以選擇自簽名證書,無論是哪一種要注意頒發的證書中要包含將來用戶訪問所輸入的名稱或FQDN。
Next
選擇授權訪問的用戶組
Next
等待完成
查看並配置RD Gateway
確認SSL Certificate中證書設置(我這裏選擇第一項)
Server farm,輸入RD Gateway服務器地址,點擊添加
設置RD Session Host Config
點擊licensing,模式爲per user,添加license server爲win2008R2-A
常規標籤
設置完成。
這是和RDS服務器在同一網絡的另一臺服務器
計算機名:SHNYVM10,Ip地址172.16.0.5,OS爲windows2012
我們要實現在外網連接RD Gateway進而連接到上述計算機。
在internet 上選擇一臺客戶機,mstsc
計算機地址輸入實際要連接的IP 172.16.0.5,切換到高級標籤
設置以下RD網關信息,win2008r2-a應爲上述拓撲中RDS服務器發佈到internet的名稱(我這裏名字起的比較隨意)
確定
出現身份驗證對話框,這裏鍵入能夠在RDS 服務器上驗證的賬戶
這裏輸入目標計算機的賬號密碼
連接
成功臉上172.16.0.5。
說明:
我們這個環境RD 網關沒有直接連接internet,因此實驗中還需要在網關中把RD 網關的443端口發佈出來;
客戶端通過SSL連接RD網關時,會比較連接使用的名稱和RD網關證書的名稱是否一致,如果不一致也會報錯。本實驗中,我是使用的自簽名證書,證書名字爲服務器自己的機器名爲Win2008R2-A,所以我在客戶端本地hosts文件中增加一條記錄實現解析。