在遠程桌面服務中配置RD網關直接訪問內網

原文地址：http://wangchunhai.blog.51cto.com/225186/1139388/

遠程桌面網關（RD 網關）是一項角色服務，使受權遠程用戶能夠從任何鏈接到 Internet 而且能夠運行遠程桌面鏈接 (RDC) 客戶端的設備鏈接到內部企業網絡或專用網絡上的資源。網絡資源能夠是遠程桌面會話主機（RD 會話主機）服務器、運行 RemoteApp 程序的RD 會話主機服務器或啓用了遠程桌面的計算機。

RD 網關使用 HTTPS 上的遠程桌面協議 (RDP) 在 Internet 上的遠程用戶與運行其生產力應用程序的內部網絡資源之間創建安全的加密鏈接。

簡單來講，若是企業內部網絡有多個遠程桌面（終端服務器）要發佈到Internet，在一般的狀況下，是須要將這些遠程桌面服務器經過防火牆發佈到Internet（使用不一樣的端口），Internet上的用戶使用不一樣的端口鏈接到不一樣的內網服務器。而在Windows Server 2008 R2中，經過配置RD網關，可讓Internet使用「遠程桌面鏈接」程序，經過RD網關服務器直接鏈接到內網的多個遠程桌面計算機。下面經過圖1所示的實驗拓撲進行介紹。

圖1 RD實驗拓撲

在圖1中，主機安裝Windows 8，在主機上安裝VMware Workstation 9。VM一、VM2是VMware Workstation中的兩臺虛擬機，VM1安裝Windows Server 2008 R2，配置有兩塊虛擬網卡，第一塊虛擬網卡使用VMnet8，設置192.168.80.10的IP地址，另外一塊虛擬網卡使用LAN Segment網卡（建立lan21），設置192.168.11.10的IP地址。另外一虛擬機VM2配置一塊虛擬網卡，使用lan21，這個用來模擬內網。

在配置完RD 網關以後，192.168.80.1 的計算機可使用「遠程桌面」直接鏈接到192.168.11.11 的主機，而正常狀況下是不能直接鏈接的。

1 Windows Server 2008 R2基本配置

切換到VM1的虛擬機，重命名兩個網卡分別爲wan與lan，如圖2所示。

圖2 重命名網卡

而後分別爲wan與lan設置IP地址，如圖3所示。

 

圖2 設置wan網卡地址 圖3 設置lan網卡地址

2 申請證書

登陸一個證書服務器，爲遠程桌面服務申請一個證書，首先要下載CA根證書，如圖2-11所示。

圖2-11 下載根證書

而後將下載的根證書導入「受信任的證書頒發機構」，如圖2-12所示。

圖2-12 安裝根證書

以後申請「服務器身份驗證證書」，申請名稱爲「遠程桌面」會話主機對外公佈的名稱，例如rc.msft.com，而且選中「標記密鑰爲可導出」，如圖2-13所示。由於在Web頁申請的證書會保存在「證書-當前用戶」存儲中，而服務器證書要保存在「證書（本地計算機）」存儲中。因此須要將證書從「證書-當前用戶」存儲導出另用。

圖2-13 申請證書

而後將證書導出，並導出私鑰，如圖2-14所示。

圖2-14 導出證書

3 安裝遠程桌面服務

打開「服務器管理器」，安裝遠程桌面服務，主要步驟以下。

（1）右擊「角色」在彈出的快捷菜單中選擇「添加角色」，如圖3-4所示。

圖3-4 添加角色

（2）在「選擇服務器角色」對話框中，單擊「遠程桌面服務」複選框，如圖3-5所示。

圖3-5 選擇遠程桌面服務

（3）在「選擇角色服務」對話框，依次選中「遠程桌面會話主機」、「遠程桌面受權」、「遠程桌面網關」、「遠程桌面Web訪問」複選框，如圖3-6所示。

圖3-6 選擇角色服務

（4）在「指定遠程桌面會話主機的身份驗證方法」對話框，單擊「不須要使用網絡級別身份驗證」，如圖3-7所示。

圖3-7 指定遠程桌面會話主機身份驗證方法

（5）在「指定受權模式」對話框，選擇「每用戶」，如圖3-8所示。

圖3-8 每用戶

（6）在「選擇SSL加密的服務器身份驗證證書」對話框中，單擊「導入」按鈕，導入圖2-14中導出的證書，如圖3-9所示。

 

圖3-9 導入證書 圖3-10 導入後的證書

（7）其餘選擇默認值，直到安裝完成，如圖3-11所示。

圖3-11 安裝完成

4 配置RD網關管理器

打開「RD網關管理器」屬性，在「SSL證書選項卡」中，選擇「將證書導入RD網關RC證書（本地計算機）/我的存儲」，單擊「瀏覽並導入證書」按鈕，選擇圖2-14中導出的證書，如圖4-11所示。

圖4-11 導入證書

而後在「服務器場」中，將當前的主機名稱（RC）添加到「RD網關服務器場成員」中，如圖4-12所示。

圖4-12 服務器場

5 遠程桌面會話主機配置

在「管理工具→遠程桌面服務」中選擇「遠程桌面會話主機配置」，在「受權」選項組中雙擊「遠程桌面受權服務器」，在「受權」選項卡中選擇「每用戶」，而後單擊「添加」按鈕添加當前主機爲許可服務器，如圖5-十一、圖5-12所示。

 

圖5-11 遠程桌面會話主機配置 圖5-12 遠程桌面受權服務器

而後雙擊「鏈接」選項組中的「RDP-Tcp」，在「常規」選項卡中，單擊「選擇」按鈕，選擇名爲rc.msft.com的證書，如圖5-13所示。

圖5-13 選擇證書

6 客戶端驗證

在主機上，編輯hosts文件，添加rc.msft.com的解析，使其指向192.168.80.10。而後安裝根證書（爲RD會話主機申請證書的證書頒發機構）。打開遠程桌面鏈接，鏈接192.168.11.11，步驟以下。

（1）打開「遠程桌面鏈接」程序，單擊「顯示選項」按鈕，在「高級」選項卡中，單擊「設置」按鈕，如圖6-11所示。

圖6-11 設置

（2）在「鏈接設置」中，單擊「使用這些RD網關服務器設置」，在「服務器名」文本框中輸入RD網關服務器的名稱rc.msft.com，如圖6-12所示。若是RD網關服務器與後臺受保護的服務器的密碼相同，能夠選中「將個人RD網關憑據用於遠程計算機」單選框，若是不一樣，則不須要選中。

圖6-12 鏈接設置

（3）在「常規」選項卡，在「計算機名」文本框中輸入要鏈接的遠程計算機，例如192.168.11.11，而後單擊「鏈接」按鈕，如圖6-13所示。

圖6-13 鏈接到遠程計算機

（4）在「RD網關服務器憑據」對話框中，輸入RD網關服務器的用戶名及密碼，而後單擊「記住個人憑據」，如圖6-14所示。

圖6-14 輸入RD網關服務器憑據

（5）以後會出現「登陸到Windows」的提示，此時登陸的是受RD網關服務器保護的內部服務器，如圖6-15所示。

圖6-15 鏈接到內部服務器

7 Internet用戶驗證

若是你的計算機能鏈接到Internet，可讓Internet用戶進行驗證，此時實驗拓撲如圖7-10所示。

圖7-10 Internet用戶進行驗證

（1）首先修改VM1虛擬機的虛擬網卡，將原來爲「NAT」的虛擬網卡修改成「橋接」，並設置IP地址、網關。我是在我家的計算機上設置的，計算機經過寬帶路由器共享上網。我暫時將Windows 2008 R2的虛擬機設置爲10.10.10.102的IP地址，並設置網關地址，如圖7-11所示。

圖7-11 設置IP地址

（2）登陸寬帶路由器，映射3389與443端口到10.10.10.102，如圖7-12所示。

圖7-12 映射3389與443端口到RD主機

（3）查看當前的IP地址，本例爲27.185.227.178，如圖7-13所示。

圖7-13 查看當前的IP地址

（4）登陸到遠程的一臺服務器中，修改hosts文件，添加以下一行：

27.185.227.178 rc.msft.com

如圖7-14所示。

圖7-14 修改hosts文件

（5）運行「遠程桌面鏈接」，添加RD網關服務器，如圖7-15所示。

圖7-15 添加RD網關服務器

（6）鏈接到192.168.11.11，如圖7-16所示。

圖7-16 鏈接到遠程桌面

（7）輸入安全憑據，如圖7-17所示。

圖7-17 鏈接到RD網關服務器

（8）提示遠程桌面是一個早於Windows Vista的版本，如圖7-18所示。，

圖7-18 提示

（9）輸入192.168.11.11的用戶名密碼登陸，如圖7-19所示。

圖7-19 鏈接到遠程桌面

（10）切換到VM1的虛擬機，執行netstat -an -p tcp，能夠查看遠程的鏈接，如圖7-20所示。

圖7-20 查看遠程的鏈接信息