Windows Server 2008 RemoteApp(六)---遠程桌面網關服務器

一般內部要管理的遠程桌面服務器不少，在防火牆上都發布比較麻煩，此時咱們只需在DMZ區部署一臺遠程桌面網關服務器將它發佈便可解決問題，外網的用戶使用HTTPS協議鏈接到遠程桌面網關服務器，而後遠程桌面網關服務器再把外網用戶的訪問請求重定向到內網的任何一臺遠程桌面服務器上。這樣一來因爲外網用戶使用的是互聯網上應用普遍的HTTP協議，基本不用擔憂在互聯網上被攔截，同時也保障了數據在傳輸過程當中的安全性

服務器相關信息

1.申請證書

遠程桌面網關服務器須要用到證書，證書的申請方法在第三章有詳解，申請過程須要注意證書屬性中的備用名稱DNS項，這裏有多個域名，TMG在發佈時會用到這張證書，這樣一來，此證書就能夠同時知足遠程桌面網關服務器和遠程桌面Web訪問服務器以及證書吊銷列表的對外發布

最後導入到【我的】容器

2.安裝遠程桌面網關服務器

添加角色

勾選【遠程桌面服務】

勾選【遠程桌面網關】

這裏會自動添加相應組件

選擇證書

建立受權策略

這裏設置哪些組能夠經過遠程桌面網關訪問到內部網絡資源，這裏我添加了【Domain Users】組

CAP策略指的是遠程桌面鏈接受權策略，CAP策略用於指定鏈接到遠程桌面網關服務器的用戶，選擇身份驗證方法爲【密碼】

RAP策略是遠程桌面資源受權策略，用於指定遠程用戶經過遠程桌面網關訪問到內網的網絡資源

CAP和RAP策略須要有網絡策略服務器的支持，嚮導自動勾選了【網絡策略服務器】角色

列出了IIS7中所須要的組件詳細清單

點擊【安裝】

點擊【關閉】後安裝成功

3.建立防火牆策略

因爲遠程桌面服務器是在DMZ區，客戶端在內網，默認狀況下TMG不容許兩個網絡之間的任何通信，因此咱們這裏要建立一條防火牆策略，容許DMZ區和內網的雙向通信

4.鏈接測試

打開bjxp上的【遠程桌面鏈接】，輸入想要鏈接的遠程桌面服務器的名稱和用戶名

這裏是bjrd.zf.com

切換到【高級】卡片，打開【設置】

設置遠程桌面網關

這裏是bjrdgw.zf.com

點【鏈接】後會要求身份驗證

驗證經過後成功鏈接到了bjrd.zf.com這臺遠程桌面服務器上

在客戶機bjxp上打開CMD，輸入netstat-n，從輸出結果能夠看出，客戶機確實是使用HTTPS協議先鏈接到遠程桌面網關服務器的443端口，而後遠程桌面網關服務器再將鏈接重定向到bjrd.zf.com上的

其實客戶端在局域網內部使用遠程桌面網關服務器意義不大，遠程桌面網關服務器真正的做用是爲了方便的讓路由器或者防火牆以外的客戶端能經過443端口輕鬆的鏈接到內部任何一臺遠程桌面服務器上，並可以使用RemoteApp程序，下篇會作詳解