RD网关部署说明

RD网关部署说明

文档变更记录


日期


版本


作者


内容


备注


2013/11/12


0.1

 
背景


新建


2013/11/26


0.2

 
实验步骤章节补充图片及过程

 

2013/11/27


0.3

 
调研用代码可以实现的步骤

 

2013/11/29


0.4

     
         
         

一、背景

实现通过RD网关服务器实现外网访问内网的远程桌面。

1.1远程桌面网关

远程桌面网关(RD 网关)是一项角色服务,使授权远程用户可以从任何连接到 Internet 并且可以运行远程桌面连接 (RDC) 客户端的设备连接到内部企业网络或专用网络上的资源。网络资源可以是远程桌面会话主机(RD 会话主机)服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。

RD 网关使用 HTTPS 上的远程桌面协议 (RDP) 在 Internet 上的远程用户与运行其生产力应用程序的内部网络资源之间建立安全的加密连接。

1.2为什么使用远程桌面网关?

RD 网关有许多优点,其中包括:

通过 RD 网关,远程用户可以使用加密连接,通过 Internet 连接到内部网络资源,而不必配置虚拟专用网络 (VPN) 连接。

RD 网关提供全面的安全配置模型,使您可以控制对特定内部网络资源的访问。RD 网关提供点对点的 RDP 连接,而不是允许远程用户访问所有内部网络资源。

通过 RD 网关,大多数远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序 (NAT) 托管的内部网络资源。在此方案中,通过 RD 网关,不必对 RD 网关服务器或客户端执行其他配置。

在此版本的 Windows Server 之前,采用安全措施来阻止远程用户跨防火墙和 NAT 连接到内部网络资源。这是由于出于网络安全考虑,通常阻止端口 3389(用于 RDP 连接的端口)。RD 网关使用 HTTP 安全套接字层/传输层安全 (SSL/TLS) 隧道将 RDP 通信传输到端口 443。由于大多数公司打开端口 443 来支持 Internet 连接,所以,RD 网关利用此网络设计提供跨多个防火墙的远程访问连接。

通过远程桌面网关管理器可以配置授权策略,以定义远程用户要连接到内部网络资源必须满足的条件。例如,可以指定:

可以连接到内部网络资源的用户(即,可以连接的用户组)。

用户可以连接到的网络资源(计算机组)。

客户端计算机是否必须是 Active Directory 安全组的成员。

是否允许设备的重定向。

客户端需要使用智能卡身份验证还是密码身份验证,还是可以使用任一方法。

可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性。NAP 是 Windows Server® 2008 R2、Windows Server® 2008、Windows® 7、Windows Vista® 和 Windows(R) XP Service Pack 3 中包含的运行状况策略创建、强制和补救技术。通过 NAP,系统管理员可以强制运行状况要求,可以包括软件要求、安全更新要求、所需的计算机配置以及其他设置。

note备注

如果 RD 网关强制 NAP,则运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机不能作为 NAP 客户端使用。如果 RD 网关强制 NAP,则仅运行 Windows 7、Windows Vista 或 Windows XP SP3 的计算机可以作为 NAP 客户端使用。

有关如何将 RD 网关配置为使用 NAP 对连接到 RD 网关服务器的远程桌面服务客户端强制运行状况策略的信息,请参阅 Windows Server 2008 R2 技术中心上的"远程桌面服务"页 [http://go.microsoft.com/fwlink/?linkid=140433(可能为英文网页)]。

可以将 RD 网关服务器与 Microsoft Internet Security and Acceleration (ISA) 服务器一起使用来提高安全性。在此方案中,可以在专用网络中(而不是在外围网络中)托管 RD 网关服务器,且可以在外围网络中托管 ISA 服务器。远程桌面服务客户端与 ISA 服务器之间的安全套接字层 (SSL) 连接可以在连接到 Internet 的 ISA 服务器上终止。

有关如何将 ISA 服务器配置为 RD 网关服务器方案的 SSL 终结设备的信息,请参阅 Windows Server 2008 R2 技术中心上的"远程桌面服务"页 [http://go.microsoft.com/fwlink/?linkid=140433(可能为英文网页)]。

远程桌面网关管理器提供的工具帮助您监视 RD 网关服务器状态和事件。通过使用远程桌面网关管理器,可以指定为了进行审核要监视的事件(例如尝试连接到 RD 网关服务器不成功)。

1.3配置远程桌面网关

此清单列出了要成功地为 RD 网关核心方案配置 RD 网关需要完成的任务。通过此方案,可以配置 RD 网关服务器,使远程用户可以通过 RD 网关服务器,从 Internet 访问内部公司网络资源或专用网络资源。在此方案中,内部网络资源可以是远程桌面会话主机(RD 会话主机)服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。


配置步骤

 

安装远程桌面网关角色服务。

 

获取 RD 网关服务器的证书。

 

创建远程桌面连接授权策略 (RD CAP)。

 

创建远程桌面资源授权策略 (RD RAP)。

 

配置 RD 网关的远程桌面服务客户端。

 

有关 RD 网关的详细信息,请参见 Windows Server 2008 R2 TechCenter 上的远程桌面服务页 (http://go.microsoft.com/fwlink/?LinkId=140433)。

1.4安装远程桌面网关的先决条件

若要正常使用 RD 网关,必须满足下列先决条件:

必须拥有安装了 Windows Server 2008 R2 的服务器。

在您要配置的 RD 网关服务器上具有本地"管理员"组成员身份(或同等身份),是完成此过程的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文链接)。

必须为 RD 网关服务器获取安全套接字层 (SSL) 证书(如果还没有该证书)。默认情况下,在 RD 网关 服务器上,Internet 信息服务 (IIS) 服务使用传输层安全 (TLS) 1.0 对通过 Internet 在客户端与 RD 网关服务器之间进行的通信加密。若要正常使用 TLS,必须在 RD 网关服务器上安装 SSL 证书。

note备注

如果可以使用其他方法获取符合 RD 网关的要求的外部信任证书,则不需要在组织中部署证书颁发机构 (CA) 基础结构。如果您的公司没有独立 CA 或企业 CA,并且您没有受信任公用 CA 颁发的兼容证书,则可以为 RD 网关服务器创建并导入自签名证书,以便进行技术评估和测试。有关详细信息,请参阅为远程桌面网关服务器创建自签名证书。

有关 RD 网关 的证书要求以及如何获取并安装证书的信息,请参阅获取远程桌面网关服务器的证书。

如果配置的 RD 网关授权策略要求客户端计算机上的用户是 Active Directory 安全组的成员,才能连接到 RD 网关服务器,则 RD 网关服务器必须也是 Active Directory 域的成员。

角色、角色服务和功能的依存关系

若要正常使用 RD 网关,要求安装并运行多个角色服务和功能。使用服务器管理器安装 RD 网关角色服务时,将自动安装并启动下列附加的角色、角色服务和功能(如果尚未安装):

HTTP 代理上的远程过程调用 (RPC)

Web 服务器 (IIS) [Internet 信息服务]

若要正常使用 HTTP 代理上的 RPC 功能,必须安装并运行 IIS。

网络策略和访问服务

还可以将 RD 网关配置为使用另一台运行网络策略服务器 (NPS) 服务的服务器上存储的远程桌面连接授权策略 (RD CAP)。这样,您将使用运行 NPS 的服务器(以前称为远程身份验证拨入用户服务 (RADIUS) 服务器)来集中存储、管理和验证RD CAP。如果已为远程访问方案(例如 VPN 和拨号网络)部署了运行 NPS 的服务器,则对 RD 网关方案同样使用这个现有的运行 NPS 的服务器,可以增强您的部署。

二、实验环境

2.1 实验环境


服务器名称


系统


功能


备注


AD

192.168.10.1


Windows Server 2012


AD域服务,AD证书服务


VMHost2上虚机


RD

192.168.10.14

10.0.1.1


Windows Server 2012


RD网关服务器


VMHost2上虚机


RD01

192.168.0.15

10.0.1.3


Windows Server 2012


RD网关服务器


VMHost2上虚机


Win-TTLSA6FVTKG

192.168.10.22


Windows 7 32 sp1


远程桌面


VMHost1上虚机


Win-J3SKRGLCDLT

10.0.1.2


Windows 7 32 sp1


客户端


VMHost3上虚机

       

2.2 拓扑图

三、实验步骤

3.1 AD证书服务安装与配置

3.1.1 添加ADCS角色和功能

3.1.2 ADCS配置

此处要选【企业CA】

3.1.3 创建针对计算机的证书模板

在AD中,创建证书模板。

【服务器管理器】-【工具】-【证书颁发机构】。

右键【证书模板】-【新建】-【要颁发的证书模板】。

  1. 右击【证书模板】-【管理】-右击【计算机】-【复制模板】,在【常规】tab定义模板名称,在【使用者名称】选择【在请求中提供】,点击【应用】-【确定】

2. 右键【证书模板】-【新建】-【要颁发的证书模板】,选择模板名称为步骤一中创建的模板,点击确定

3.2 安装远程桌面网关服务

3.3 配置远程桌面网关服务器

以下所有配置均在RD网关服务器上进行。

3.3.1证书

在【控制台】完成申请证书的相关操作。证书已由前面的ADCS证书服务配置完成。

申请完证书后。

首先,要对RD网关服务器进行导入证书。

其次,要把证书保存到本地硬盘,再拷贝到客户端进行安装,可进行静默安装。

3.3.1.1申请证书

【开始】-【运行】mmc

【文件】-【添加/删除管理单元】,选择【证书】,点击【添加】。

右键【个人】-【证书】-【所有任务】-【申请新证书】

点击下一步

选择新创建的模板下的【注册此证书需要详细信息。单击这里以配置设置】,弹出如下窗口

在类型处选择【公用名】,在值处填写路由器的外网地址,点击【添加】按钮,点击【应用】-【确定】

证书申请完成。

3.3.1.2导出证书

将导出的证书拷贝到客户端进行安装。

3.3.1.3导入证书

【开始】-【运行】输入【tsgateway.msc】调用RD网关管理器

3.3.2策略

3.3.2.1 创建策略

3.4 客户端配置

3.4.1 导入证书

从RD网关上拷贝导出的证书文件到客户端,双击进行安装。

3.4.2 Hosts文件修改

3.4.3 mstsc设置

3.5 测试远程桌面登录

3.6 RD网关服务器场

四、参考资料

http://wangchunhai.blog.51cto.com/225186/1139388

证书服务安装

http://lixun.blog.51cto.com/4198640/942447

证书

http://technet.microsoft.com/zh-cn/library/cc725949(v=ws.10).aspx

http://technet.microsoft.com/zh-cn/library/cc725706(v=ws.10).aspx

配置远程桌面网关服务器

http://technet.microsoft.com/zh-cn/library/cc754191(v=ws.10).aspx

TMG发布远程桌面网关服务器

http://hi.baidu.com/comet82/item/e62dc17664760f480c0a0701

安装ADCS

http://yuelei.blog.51cto.com/202879/309092/

配置CA证书

http://235898457.blog.51cto.com/512763/307612

RD网关负载均衡

http://blog.sina.com.cn/s/blog_643754960101b79n.html

时间: 2024-10-05 09:45:04

RD网关部署说明的相关文章

上网行为管理设备网关部署方式

上网行为管理网关对于网络管理,局域网部署,网络传输都是完爆路由的,随着原材料开放最大化,生产力提高,硬件设备的成本也逐步降低,普及也越来越广.(例如电器的价格越来越低)上网行为管理网关部署也将成为一个趋势,因为网关除了拥有专业路由的功能以外,专业网络管理功能,专业防火墙功能,这个都是路由硬件芯片做不到的.作为上网行为管理设备应该如何网关部署呢?其实很简单,就是类似路由部署. WSG上网行为管理网关置于出口,所有数据流直接经由设备端口通过,适合可更改网络架构的客户.在此模式设备的所有功能都有效,包

Exchange系统+TurboGate网关部署方案

本套部署的结构外部采用TurboGate作为邮件网关,内部采用Exchange Server 2007作为内网邮件系统,此部署方法使得内网Exchange邮件服务器不直接暴露在互联网,而是通过SMTP协议经过TurboGate邮件网关再接入互联网,从而保证了内网Exchange邮件服务器的安全性. 一.拓扑结构图 二.部署方法 假设: ◆ TurboGate邮件网关IP地址:ip地址一:192.168.1.10 ,ip地址二:192.168.0.20 ◆ 内网Exchange邮件服务器IP地址:

清华附小智慧校园蓝牙网关部署方案

北京桂花网蓝牙路由器及物联网控制器参与部署清华大学附属小学智慧校园,清华智大学附属小学坐落于北京市海淀区,目前已在学校的操场.校门口及其他公共区域区域部署蓝牙路由器(蓝牙网关设备),为学校的教学提供了新式管理方式,受到学生老师一致好评. 一.清华附小智慧校园项目介绍清华大学附属小学建于1915年,坐落于北京海淀区清华大学校内,目前学校拥有学生7000余人,教师近600人.该校占地35000平方米,其中操场占地18000平方米,建筑面积12000平方米.学校有图书馆,主操场设有300米塑胶跑道和人

SIA-GateWay之API网关安装部署指南

SIA-GATEWAY是基于SpringCloud微服务生态体系下开发的一个分布式微服务网关系统.具备简单易用.可视化.高可扩展.高可用性等特征,提供云原生.完整及成熟的接入服务解决方案.本文介绍API网关的安装部署. 一.环境 1.1 编译环境 Maven3+ nodejs Jdk1.8+ 1.2 运行时第三方依赖 Mysql5.6+ elasticsearch 5.5.2 kibana-5.5.2 kafka 2.12-2.0.0 redis 3.2.11 eureka-server 1.3

使用BGP E***方式部署分布式网关VXLAN

BGP E*** VXLAN能够通过VETP隧道实现大二层MAC IN UDP,但是没有控制平面,虽然可以手动创建隧道,但是再面对大规模虚拟机场景下,基本不太现实,同时BUM报文泛滥,占用带宽华为的VXLAN方案可以通过BGP E***方式来充当控制平面,解决相关问题.E***(Ethernet Virtual Private Network)是一种用于二层网络互联的***技术.E***技术采用类似于BGP/MPLS IP ***的机制,在BGP协议的基础上定义了一种新的NLRI(Network

Net分布式系统之六:微服务之API网关

本人建立了个人技术.工作经验的分享微信号,计划后续公众号同步更新分享,比在此更多具体.欢迎有兴趣的同学一起加入相互学习.基于上篇微服务架构分享,今天分享其中一个重要的基础组件“API网关”. 一.引言 随着互联网的快速发展,当前以步入移动互联.物联网时代.用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端.各种浏览器.手机移动端及智能终端等.同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接.共享数据的需求.所以系统需要升级框架满足日新月异需求变化,支持业务发展,并

无线WIFI上网监控串联部署方案

所谓串联部署,顾名思义就是串接在网络里面,所有都经过监控系统,可以让监控系统解析,还原,做中间人技术(HTTPS,SSL监控)这样部署可以直接深入网络,对网络管理,协议分析,内容审计更加全面到位.串联部署方案两种形式: 网关部署,将WSG的E系列作为网关部署在局域网出口.串联部署比较推荐现成的硬件设备,串联上网设备,硬件的配置有要求.串接在网络里面,所有数据都经过设备,不管是内容审计,还是行为管理,带宽管理都能做到最大管理程度.无线设备怎么都没有办法做客户端,只能通过专业网关(第二代防火墙)监管

API网关

微服务之API网关 一.引言 随着互联网的快速发展,当前以步入移动互联.物联网时代.用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端.各种浏览器.手机移动端及智能终端等.同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接.共享数据的需求.所以系统需要升级框架满足日新月异需求变化,支持业务发展,并将框架升级为微服务架构."API网关"核心组件是架构用于满足此些需求. 很多互联网平台已基于网关的设计思路,构建自身平台的API网关,国内主要有京东.携程.唯品会

服务网关的用法

企业为了保护内部系统的安全性,内网与外网都是隔离的,企业的服务应用都是运行在内网环境中,为了安全的考量,一般都不允许外部直接访问.API网关部署在防火墙外面,起到一层挡板作用,内部系统只接受API网关转发过来的请求.网关通过白名单或校验规则,对访问进行了初步的过滤.相比防火墙,这种软件实现的过滤规则,更加动态灵活. API网关作为对外提供服务的入口,就像企业服务的大门.一方面,要有足够的能力,应对大量的对外访问,另一方面,还要给对内的服务提供一定的安全保障. 除此之外,企业提供的API服务多种多