通常內部要管理的遠程桌面服務器很多,在防火牆上都發布比較麻煩,此時我們只需在DMZ區部署一臺遠程桌面網關服務器將它發佈即可解決問題,外網的用戶使用HTTPS協議連接到遠程桌面網關服務器,然後遠程桌面網關服務器再把外網用戶的訪問請求重定向到內網的任何一臺遠程桌面服務器上。這樣一來由於外網用戶使用的是互聯網上應用廣泛的HTTP協議,基本不用擔心在互聯網上被攔截,同時也保障了數據在傳輸過程中的安全性
服務器相關信息
1.申請證書
遠程桌面網關服務器需要用到證書,證書的申請方法在第三章有詳解,申請過程需要注意證書屬性中的備用名稱DNS項,這裏有多個域名,TMG在發佈時會用到這張證書,這樣一來,此證書就可以同時滿足遠程桌面網關服務器和遠程桌面Web訪問服務器以及證書吊銷列表的對外發布
最後導入到【個人】容器
2.安裝遠程桌面網關服務器
添加角色
勾選【遠程桌面服務】
勾選【遠程桌面網關】
這裏會自動添加相應組件
選擇證書
創建授權策略
這裏設置哪些組可以通過遠程桌面網關訪問到內部網絡資源,這裏我添加了【Domain Users】組
CAP策略指的是遠程桌面連接授權策略,CAP策略用於指定連接到遠程桌面網關服務器的用戶,選擇身份驗證方法爲【密碼】
RAP策略是遠程桌面資源授權策略,用於指定遠程用戶通過遠程桌面網關訪問到內網的網絡資源
CAP和RAP策略需要有網絡策略服務器的支持,嚮導自動勾選了【網絡策略服務器】角色
列出了IIS7中所需要的組件詳細清單
點擊【安裝】
點擊【關閉】後安裝成功
3.創建防火牆策略
由於遠程桌面服務器是在DMZ區,客戶端在內網,默認情況下TMG不允許兩個網絡之間的任何通訊,所以我們這裏要創建一條防火牆策略,允許DMZ區和內網的雙向通訊
4.連接測試
打開bjxp上的【遠程桌面連接】,輸入想要連接的遠程桌面服務器的名稱和用戶名
這裏是bjrd.zf.com
切換到【高級】卡片,打開【設置】
設置遠程桌面網關
這裏是bjrdgw.zf.com
點【連接】後會要求身份驗證
驗證通過後成功連接到了bjrd.zf.com這臺遠程桌面服務器上
在客戶機bjxp上打開CMD,輸入netstat-n,從輸出結果可以看出,客戶機確實是使用HTTPS協議先連接到遠程桌面網關服務器的443端口,然後遠程桌面網關服務器再將連接重定向到bjrd.zf.com上的
其實客戶端在局域網內部使用遠程桌面網關服務器意義不大,遠程桌面網關服務器真正的作用是爲了方便的讓路由器或者防火牆之外的客戶端能通過443端口輕鬆的連接到內部任何一臺遠程桌面服務器上,並能夠使用RemoteApp程序,下篇會做詳解