Windows Server 2012 R2 會話遠程桌面-標準部署-RD網關(RemoteApp)

馬博峯

一、什麼是RD網關

遠程桌面網關（RD 網關），在早期版本的遠程桌面連接中稱爲TS網關，在Windows server 2012 R2中成爲Remote Desktop Gateway Server，RD網關使授權的遠程用戶能夠從任何聯網設備連接到內部企業網絡上的資源。RD 網關使用遠程桌面協議 (RDP)和 HTTPS 協議幫助創建一個更安全的加密連接，簡單來說，如果企業內部網絡有多個遠程桌面（終端服務器）要發佈到Internet，在通常的情況下，是需要將這些遠程桌面服務器通過防火牆發佈到Internet（使用不同的端口），Internet上的用戶使用不同的端口連接到不同的內網服務器。而在Windows Server 2012 R2中，通過配置RD網關，可以讓Internet使用“遠程桌面連接”程序，通過RD網關服務器直接連接到內網的多個遠程桌面計算機。

在早期版本的遠程桌面連接中，用戶無法通過防火牆和網絡地址轉換器連接到遠程計算機，這是因爲通常會阻止用於遠程桌面連接的端口 3389 以增強網絡安全性。但是，RD 網關服務器使用端口 443，此端口可通過安全套接字層 (SSL) 隧道傳輸數據。

RD 網關服務器具有以下優點：

1、支持從 Internet 到公司網絡的遠程桌面連接，無須設置虛擬專用網絡 (***) 連接。

2、支持跨越防火牆連接到遠程計算機。

3、允許與計算機上運行的其他程序共享網絡連接。這樣，您就可以使用 ISP 連接而非公司網絡來通過遠程連接方式發送和接收數據。

4、通過遠程桌面網關管理器可以配置授權策略，以定義遠程用戶要連接到內部網絡資源必須滿足的條件。例如，可以指定：

（1）可以連接到內部網絡資源的用戶（即，可以連接的用戶組）。

（2）用戶可以連接到的網絡資源（計算機組）。

（3）客戶端計算機是否必須是 Active Directory 安全組的成員。

（4）是否允許設備的重定向。

（5）客戶端需要使用智能卡身份驗證還是密碼身份驗證，還是可以使用任一方法。

5、可以將 RD 網關服務器和遠程桌面服務客戶端配置爲使用網絡訪問保護 (NAP) 來進一步增強安全性（客戶端操作系統必須是XP，Vista，Windows 7，Windows 8）

6、可以利用RD 網關服務器部署內外網隔離方案。

二、RD網關部署

RD網關服務器通常都有2個不同的物理網卡對應着2個不同的IP地址，一個是內網的IP地址，另一個則是外網或者是公網的IP地址，其主要功能就是用戶進行訪問的地址的轉換，從而安全的從企業外部網絡訪問到內網中。如果能巧妙的利用RD網關這個角色，就可以實現很多種功能，比如一公司內部的辦公環境，員工的桌面是不能上網的，完全是一個閉塞的工作環境。但是部分領導要求自己的桌面上網，或者是某些應用程序能上網，但是又不能影響內部的環境。這種情況下，可以將RD網關部署在內網環境，而用戶訪問的的桌面或者應用程序服務器（RDSH和RDHV）就可以部署在能上網的環境，這樣用戶通過內網訪問RD網關就可以安全的訪問自己的應用和桌面程序。完全可以做到用戶在內網環境中，用戶的QQ程序和郵箱程序可以上網，其它的程序則無法上網，完全做到了內外網的隔離。

但是大部分的企業是將RD網關部署在企業中DMZ區，通過防火牆讓不在公司內部的辦公人員進行遠程訪問，從而取代了***服務器，RD網關服務器可以是一臺物理服務器，也可以是一臺虛擬機，但是要確保RD網關能同時訪問內網和外網。

在此次配置中，使用的服務器情況如下：

服務器名稱	操作系統	IP設置	功能
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	域控制器
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	CA證書服務器
BD-RDS.mabofeng.com	Windows Server 2012 R2	192.168.1.201	遠程桌面連接代理
RD-GW.mabofeng.com	Windows Server 2012 R2	192.168.1.76	遠程桌面網關
202.85.XXX.XXX

接下來就來安裝遠程桌面網關（RD 網關）角色

步驟1、首先以管理員的身份，登錄到RD連接代理服務器BD-RDS.mabofeng.com，運行服務器管理器，在服務器管理器中，點擊遠程桌面服務-概述，在概述頁面中，可以看到部署概述，然後點擊RD網關。

步驟2、在添加RD網關服務器嚮導中，首先在服務器池中選擇要安裝RD網關的服務器，要安裝RD網關的服務器事先要叫到內網的域中，點擊箭頭將RD網關服務器添加到右邊，然後點擊下一步。

步驟3、在添加RD網關嚮導中命名自簽名SSL證書，SSL證書用於對遠程桌面服務客戶端和RD網關服務器之前的通信進行加密。自簽名SSL證書名稱必須域RD網關服務器的完全限定域名（FQDN）相匹配，而FQDN必須與遠程桌面服務客戶端使用的RD網關服務器名稱相匹配。這裏輸入RD-GW.mabofeng.com，然後點擊下一步。

步驟4、在添加RD網關的卻仍選擇頁面中，查看將要在服務器上安裝RD網關角色服務器，並將會此服務器添加到部署中，然後點擊添加。

步驟5、在查看進度選項中，等待RD網關的完成安裝。

步驟6、在添加RD網關中的結果頁面裏，可以看見遠程桌面網關角色服務已經安裝成功，安裝完成後，則還需要進簡單的配置，在結果頁面中，點擊配置證書。

步驟7、在部署屬性中的配置頁面中，選擇RD網關，點擊選擇現有證書，然後點擊應用，在之前的章節中，我們介紹瞭如何申請證書，以同樣的方法從域證書服務器中申請證書，然後添加到這裏，點擊確定。

步驟8、設置完成RD網關證書後，回到步驟6中，點擊查看部署RD網關的屬性，或者直接在步驟7中，配置玩證書後，直接點擊RD網關，則可以查看RD網關的屬性。在RD網關屬性中，可以選擇用戶的登錄方式，一種是密碼身份驗證，另一種是智能卡身份驗證，或者是讓用戶進行選擇。勾選對遠程計算機使用RD網關憑據，當遠程計算機登錄RD網關時，則需要輸入憑據。勾選繞過本地地址的RD網關服務器，如果是內網用戶訪問RD網關，則可以跳過RD網關服務器，直接連接到RD連接代理服務器。點擊確定後。

步驟9、當完成安裝RD網關後，在部署概述中就可以看到RD網關的顏色變成了灰色，至此，RD網關的部署工作就完成了。

三、使用遠程桌面網關管理器配置RD網關

完成部署安裝RD網關後，接下來就是需要進行配置RD網關了，配置RD網關需要以域管理員的身份登錄到RD網關服務器中，使用遠程桌面網關管理器進行配置，除此之外，還需要對服務器的防火牆進行配置，打開相應的端口，關閉不用的端口，這裏就不做演示了，這裏主要介紹RD網關的配置選項。

步驟1、在RD網關服務器中，打開控制面板，選擇系統和安全，點擊管理工具，然後點擊遠程桌面服務，在遠程桌面服務文件夾中，就可以看到遠程桌面網關管理器。

步驟2、遠程桌面服務工具是隨着RD網關的安裝而安裝的，在其它遠程桌面角色中不會安裝此工具，如果想遠程管理RD網關，則需要在添加角色和功能嚮導中，選擇安裝遠程桌面網關工具。

步驟4、當打開RD網關管理器後，就可以進行配置，RD網關管理器分爲菜單欄，樹狀結構，顯示一欄和操作一欄。

步驟5、在RD網關管理器中，右鍵點擊RD-GW本地RD網關服務器，在彈出的菜單中選擇屬性，首先要對RD網關服務器進行設置。

步驟6、在RD網關屬性中，首先是常規選項欄中，這裏可以設置最大連接數，就是用戶連接到RD網關服務器的併發數量，如果併發數量較大可能會降低服務器的性能，所以爲了避免降低服務器的性能，可以設置允許到服務器的最大併發連接數限制。RD網關的連接總數包括了通過該服務器的所有UDP/HTTP和RPC-HTTP連接。

步驟7、在RD網關屬性中的第二選項SSL證書選項中，可以設置RD網關的證書，RD網關證書是HTTPS/UDP偵聽程序的安全通信和NAP消息傳送所必須的，證書會自動綁定到配置的HTTP和UDP端口，由於之前我們已經申請了證書併成功的導入了RD網關證書，所以在SSL證書一欄中，顯示了證書的詳細情況。如果沒有導入證書，可以通過執行一些操作指定要爲RD網關服務器導入的SSL證書類型。

步驟8、在RD網關屬性中的傳輸設置一欄中，設置RD網關的傳輸IP地址。可以修改HTTP和UPD的傳輸端口號碼，默認爲443和3391，協議RPC-HTTP和HTTP傳輸共享相同的設置。

步驟9、在RD網關屬性中的RD CAP頁面中，指定是否運行網絡側羅服務器（NPS）的本地或中心服務器上存儲的遠程桌面連接授權策略（RD CAP）。通過遠程桌面連接授權策略 (RD CAP)，可以指定可連接到 RD 網關服務器的用戶。此過程描述如何創建新的本地RD CAP。此外，還可以指定中心RD CAP存儲。

步驟10、在RD網關屬性中的服務器場頁面中，可以指定要包括在RD網關服務器場中的RD網關服務器。當在環境中部署了多個RD網關服務後，可將這些RD網關服務組成RD網關服務場，可以進行用戶的均衡負載和高可用性。

步驟11、在RD網關屬性中的審覈頁面中，設置爲在RD網關中啓用日誌記錄，並選擇要記錄的事件。

步驟12、在RD網關屬性中的SSL橋接頁面中。可以設置RD網關配置爲可與ISA服務器或非微軟產品一起使用，以便執行安全套接字層（SSL）橋接。

步驟13、在RD網關屬性中的消息頁面中，可以創建一個消息，當用戶登錄到自己應用或者是桌面時，用戶所看到的信息。可以創建一個向以登陸遠程計算機的用戶顯示的消息，也可以選擇每次用戶登錄遠程計算機時向用戶顯示的消息。可允許從支持RD網關消息的遠程桌面客戶端進行連接。

四、使用遠程桌面網關管理器配置RD網關策略

除了對RD網關的設置外，還可以對使用登陸遠程計算機的用戶和設備進行設置，他與域控制器上的域策略不衝突，只是針對用登陸遠程計算機的用戶和設備進行設置，所以他分爲用戶策略和設備策略，在RD網關管理器中，策略選項中，可以看到連接授權策略和資源授權策略。這裏先點擊連接授權策略，默認情況下會有一個RDG_CAP_AllUser的策略，可以對其進行修改，雙擊RDG_CAP_AllUsers。

步驟1、在RDG_CAP_AllUsers的屬性常規頁面中，可以更改RDG_CAP_AllUsers策略的名稱，並且選擇是否啓用，如果存在很多的策略，可以設置策略的順序級。

步驟2、在RDG_CAP_AllUsers的屬性要求頁面中，可以指定用戶鏈接到RD網關服務器必須滿足的要求，可添加用戶組成員身份和客戶端計算機組成員身份，並選項受支持的windows身份驗證方法支持密碼和智能卡選項，如果選擇了2種方法，每一種均可用於連接。

步驟3、在RDG_CAP_AllUsers的屬性設備重定向頁面中，可以對使用RD網關進行連接的客戶端，在遠程會話中指定是啓用還是禁用對本地客戶端設備和資源的訪問，RD網關設備重定向用於運行遠程桌面連接的授信任客戶端。目前支持的設備重定向有驅動器、剪貼板、打印機、端口（僅COM和LPT）和支持的即插即用設備。

步驟4、在RDG_CAP_AllUsers的屬性超時頁面中，指定遠程會話超時和重新連接設置，可以設置斷開會話前空閒時間和規定一定時間後會話超時，可以設置在達到會話超時之後，可以斷開會話連接或者默認重新對會話進行身份驗證和授權。

接下來，就可以針對資源授權策略進行設置，資源授權策略默認的名稱爲RDG_ AllDmainComputers，可雙擊RDG_ AllDmainComputers進行修改。

步驟1、在RDG_ AllDmainComputers的屬性常規頁面中，使用RD CAP，可以指定用戶可通過RD網關連接的網絡資源（計算機），可以更改策略的名稱和描述，並且選擇是否啓用。

步驟2、在RDG_ AllDmainComputers的屬性用戶組頁面中，指定其成員可通過RD網關連接到網絡上的遠程計算機的用戶組，點擊添加即可添加用戶組。

步驟3、在RDG_ AllDmainComputers的屬性網絡頁面中，設置用戶可以使用RD網關連接到網絡資源，網絡資源包括Active Directory域服務安全組或遠程桌面服務器場中的計算機。可以通過選擇Active Directory域服務安全組或者選擇現有RD網關管理的組或創建新組，或者允許用戶連接到任意網絡資源。