通常内部要管理的远程桌面服务器很多,在防火墙上都发布比较麻烦,此时我们只需在DMZ区部署一台远程桌面网关服务器将它发布即可解决问题,外网的用户使用HTTPS协议连接到远程桌面网关服务器,然后远程桌面网关服务器再把外网用户的访问请求重定向到内网的任何一台远程桌面服务器上。这样一来由于外网用户使用的是互联网上应用广泛的HTTP协议,基本不用担心在互联网上被拦截,同时也保障了数据在传输过程中的安全性
服务器相关信息
1.申请证书
远程桌面网关服务器需要用到证书,证书的申请方法在第三章有详解,申请过程需要注意证书属性中的备用名称DNS项,这里有多个域名,TMG在发布时会用到这张证书,这样一来,此证书就可以同时满足远程桌面网关服务器和远程桌面Web访问服务器以及证书吊销列表的对外发布
最后导入到【个人】容器
2.安装远程桌面网关服务器
添加角色
勾选【远程桌面服务】
勾选【远程桌面网关】
这里会自动添加相应组件
选择证书
创建授权策略
这里设置哪些组可以通过远程桌面网关访问到内部网络资源,这里我添加了【Domain Users】组
CAP策略指的是远程桌面连接授权策略,CAP策略用于指定连接到远程桌面网关服务器的用户,选择身份验证方法为【密码】
RAP策略是远程桌面资源授权策略,用于指定远程用户通过远程桌面网关访问到内网的网络资源
CAP和RAP策略需要有网络策略服务器的支持,向导自动勾选了【网络策略服务器】角色
列出了IIS7中所需要的组件详细清单
点击【安装】
点击【关闭】后安装成功
3.创建防火墙策略
由于远程桌面服务器是在DMZ区,客户端在内网,默认情况下TMG不允许两个网络之间的任何通讯,所以我们这里要创建一条防火墙策略,允许DMZ区和内网的双向通讯
4.连接测试
打开bjxp上的【远程桌面连接】,输入想要连接的远程桌面服务器的名称和用户名
这里是bjrd.zf.com
切换到【高级】卡片,打开【设置】
设置远程桌面网关
这里是bjrdgw.zf.com
点【连接】后会要求身份验证
验证通过后成功连接到了bjrd.zf.com这台远程桌面服务器上
在客户机bjxp上打开CMD,输入netstat-n,从输出结果可以看出,客户机确实是使用HTTPS协议先连接到远程桌面网关服务器的443端口,然后远程桌面网关服务器再将连接重定向到bjrd.zf.com上的
其实客户端在局域网内部使用远程桌面网关服务器意义不大,远程桌面网关服务器真正的作用是为了方便的让路由器或者防火墙之外的客户端能通过443端口轻松的连接到内部任何一台远程桌面服务器上,并能够使用RemoteApp程序,下篇会做详解