RD网关部署说明

RD网关部署说明

文档变更记录

日期	版本	作者	内容	备注
2013/11/12	0.1		背景	新建
2013/11/26	0.2		实验步骤章节补充图片及过程
2013/11/27	0.3		调研用代码可以实现的步骤
2013/11/29	0.4

一、背景

实现通过RD网关服务器实现外网访问内网的远程桌面。

1.1远程桌面网关

远程桌面网关（RD 网关）是一项角色服务，使授权远程用户可以从任何连接到 Internet 并且可以运行远程桌面连接 (RDC) 客户端的设备连接到内部企业网络或专用网络上的资源。网络资源可以是远程桌面会话主机（RD 会话主机）服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。

RD 网关使用 HTTPS 上的远程桌面协议 (RDP) 在 Internet 上的远程用户与运行其生产力应用程序的内部网络资源之间建立安全的加密连接。

1.2为什么使用远程桌面网关？

RD 网关有许多优点，其中包括：

通过 RD 网关，远程用户可以使用加密连接，通过 Internet 连接到内部网络资源，而不必配置虚拟专用网络 (VPN) 连接。

RD 网关提供全面的安全配置模型，使您可以控制对特定内部网络资源的访问。RD 网关提供点对点的 RDP 连接，而不是允许远程用户访问所有内部网络资源。

通过 RD 网关，大多数远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序 (NAT) 托管的内部网络资源。在此方案中，通过 RD 网关，不必对 RD 网关服务器或客户端执行其他配置。

在此版本的 Windows Server 之前，采用安全措施来阻止远程用户跨防火墙和 NAT 连接到内部网络资源。这是由于出于网络安全考虑，通常阻止端口 3389（用于 RDP 连接的端口）。RD 网关使用 HTTP 安全套接字层/传输层安全 (SSL/TLS) 隧道将 RDP 通信传输到端口 443。由于大多数公司打开端口 443 来支持 Internet 连接，所以，RD 网关利用此网络设计提供跨多个防火墙的远程访问连接。

通过远程桌面网关管理器可以配置授权策略，以定义远程用户要连接到内部网络资源必须满足的条件。例如，可以指定：

可以连接到内部网络资源的用户（即，可以连接的用户组）。

用户可以连接到的网络资源（计算机组）。

客户端计算机是否必须是 Active Directory 安全组的成员。

是否允许设备的重定向。

客户端需要使用智能卡身份验证还是密码身份验证，还是可以使用任一方法。

可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性。NAP 是 Windows Server® 2008 R2、Windows Server® 2008、Windows® 7、Windows Vista® 和 Windows(R) XP Service Pack 3 中包含的运行状况策略创建、强制和补救技术。通过 NAP，系统管理员可以强制运行状况要求，可以包括软件要求、安全更新要求、所需的计算机配置以及其他设置。

note备注

如果 RD 网关强制 NAP，则运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机不能作为 NAP 客户端使用。如果 RD 网关强制 NAP，则仅运行 Windows 7、Windows Vista 或 Windows XP SP3 的计算机可以作为 NAP 客户端使用。

有关如何将 RD 网关配置为使用 NAP 对连接到 RD 网关服务器的远程桌面服务客户端强制运行状况策略的信息，请参阅 Windows Server 2008 R2 技术中心上的"远程桌面服务"页 [http://go.microsoft.com/fwlink/?linkid=140433（可能为英文网页）]。

可以将 RD 网关服务器与 Microsoft Internet Security and Acceleration (ISA) 服务器一起使用来提高安全性。在此方案中，可以在专用网络中（而不是在外围网络中）托管 RD 网关服务器，且可以在外围网络中托管 ISA 服务器。远程桌面服务客户端与 ISA 服务器之间的安全套接字层 (SSL) 连接可以在连接到 Internet 的 ISA 服务器上终止。

有关如何将 ISA 服务器配置为 RD 网关服务器方案的 SSL 终结设备的信息，请参阅 Windows Server 2008 R2 技术中心上的"远程桌面服务"页 [http://go.microsoft.com/fwlink/?linkid=140433（可能为英文网页）]。

远程桌面网关管理器提供的工具帮助您监视 RD 网关服务器状态和事件。通过使用远程桌面网关管理器，可以指定为了进行审核要监视的事件（例如尝试连接到 RD 网关服务器不成功）。

1.3配置远程桌面网关

此清单列出了要成功地为 RD 网关核心方案配置 RD 网关需要完成的任务。通过此方案，可以配置 RD 网关服务器，使远程用户可以通过 RD 网关服务器，从 Internet 访问内部公司网络资源或专用网络资源。在此方案中，内部网络资源可以是远程桌面会话主机（RD 会话主机）服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。

配置步骤
安装远程桌面网关角色服务。
获取 RD 网关服务器的证书。
创建远程桌面连接授权策略 (RD CAP)。
创建远程桌面资源授权策略 (RD RAP)。
配置 RD 网关的远程桌面服务客户端。

有关 RD 网关的详细信息，请参见 Windows Server 2008 R2 TechCenter 上的远程桌面服务页 (http://go.microsoft.com/fwlink/?LinkId=140433)。

1.4安装远程桌面网关的先决条件

若要正常使用 RD 网关，必须满足下列先决条件：

必须拥有安装了 Windows Server 2008 R2 的服务器。

在您要配置的 RD 网关服务器上具有本地"管理员"组成员身份（或同等身份），是完成此过程的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477)（可能为英文链接）。

必须为 RD 网关服务器获取安全套接字层 (SSL) 证书（如果还没有该证书）。默认情况下，在 RD 网关服务器上，Internet 信息服务 (IIS) 服务使用传输层安全 (TLS) 1.0 对通过 Internet 在客户端与 RD 网关服务器之间进行的通信加密。若要正常使用 TLS，必须在 RD 网关服务器上安装 SSL 证书。

note备注

如果可以使用其他方法获取符合 RD 网关的要求的外部信任证书，则不需要在组织中部署证书颁发机构 (CA) 基础结构。如果您的公司没有独立 CA 或企业 CA，并且您没有受信任公用 CA 颁发的兼容证书，则可以为 RD 网关服务器创建并导入自签名证书，以便进行技术评估和测试。有关详细信息，请参阅为远程桌面网关服务器创建自签名证书。

有关 RD 网关的证书要求以及如何获取并安装证书的信息，请参阅获取远程桌面网关服务器的证书。

如果配置的 RD 网关授权策略要求客户端计算机上的用户是 Active Directory 安全组的成员，才能连接到 RD 网关服务器，则 RD 网关服务器必须也是 Active Directory 域的成员。

角色、角色服务和功能的依存关系

若要正常使用 RD 网关，要求安装并运行多个角色服务和功能。使用服务器管理器安装 RD 网关角色服务时，将自动安装并启动下列附加的角色、角色服务和功能（如果尚未安装）：

HTTP 代理上的远程过程调用 (RPC)

Web 服务器 (IIS) [Internet 信息服务]

若要正常使用 HTTP 代理上的 RPC 功能，必须安装并运行 IIS。

网络策略和访问服务

还可以将 RD 网关配置为使用另一台运行网络策略服务器 (NPS) 服务的服务器上存储的远程桌面连接授权策略 (RD CAP)。这样，您将使用运行 NPS 的服务器（以前称为远程身份验证拨入用户服务 (RADIUS) 服务器）来集中存储、管理和验证RD CAP。如果已为远程访问方案（例如 VPN 和拨号网络）部署了运行 NPS 的服务器，则对 RD 网关方案同样使用这个现有的运行 NPS 的服务器，可以增强您的部署。

二、实验环境

2.1 实验环境

服务器名称	系统	功能	备注
AD 192.168.10.1	Windows Server 2012	AD域服务，AD证书服务	VMHost2上虚机
RD 192.168.10.14 10.0.1.1	Windows Server 2012	RD网关服务器	VMHost2上虚机
RD01 192.168.0.15 10.0.1.3	Windows Server 2012	RD网关服务器	VMHost2上虚机
Win-TTLSA6FVTKG 192.168.10.22	Windows 7 32 sp1	远程桌面	VMHost1上虚机
Win-J3SKRGLCDLT 10.0.1.2	Windows 7 32 sp1	客户端	VMHost3上虚机