远程桌面网关(RD 网关)是一项角色服务,使授权远程用户可以从任何连接到 Internet 并且可以运行远程桌面连接 (RDC) 客户端的设备连接到内部企业网络或专用网络上的资源。网络资源可以是远程桌面会话主机(RD 会话主机)服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。
RD 网关使用 HTTPS 上的远程桌面协议 (RDP) 在 Internet 上的远程用户与运行其生产力应用程序的内部网络资源之间建立安全的加密连接。
简单来说,如果企业内部网络有多个远程桌面(终端服务器)要发布到Internet,在通常的情况下,是需要将这些远程桌面服务器通过防火墙发布到Internet(使用不同的端口),Internet上的用户使用不同的端口连接到不同的内网服务器。而在Windows Server 2008 R2中,通过配置RD网关,可以让Internet使用“远程桌面连接”程序,通过RD网关服务器直接连接到内网的多个远程桌面计算机。
网络拓扑
下图为RDS服务器,位于企业内网,IP为172.16.0.4,OS为2008R2,计算机名为Win2008R2-A
添加角色,我这里之前已经安装RDS服务,但需要添加子组件
Add roles
选择"Remote desktop session host","remote desktop licensing","remote desktop gateway","remote desktop web access"
Next
默认,RD 网关使用SSL和客户端建立加密连接,因此RD 网关需要有一张证书。
这里可以向CA申请证书(推荐),也可以选择自签名证书,无论是哪一种要注意颁发的证书中要包含将来用户访问所输入的名称或FQDN。
Next
选择授权访问的用户组
Next
等待完成
查看并配置RD Gateway
确认SSL Certificate中证书设置(我这里选择第一项)
Server farm,输入RD Gateway服务器地址,点击添加
设置RD Session Host Config
点击licensing,模式为per user,添加license server为win2008R2-A
常规标签
设置完成。
这是和RDS服务器在同一网络的另一台服务器
计算机名:SHNYVM10,Ip地址172.16.0.5,OS为windows2012
我们要实现在外网连接RD Gateway进而连接到上述计算机。
在internet 上选择一台客户机,mstsc
计算机地址输入实际要连接的IP 172.16.0.5,切换到高级标签
设置以下RD网关信息,win2008r2-a应为上述拓扑中RDS服务器发布到internet的名称(我这里名字起的比较随意)
确定
出现身份验证对话框,这里键入能够在RDS 服务器上验证的账户
这里输入目标计算机的账号密码
连接
成功脸上172.16.0.5。
说明:
- 我们这个环境RD 网关没有直接连接internet,因此实验中还需要在网关中把RD 网关的443端口发布出来;
- 客户端通过SSL连接RD网关时,会比较连接使用的名称和RD网关证书的名称是否一致,如果不一致也会报错。本实验中,我是使用的自签名证书,证书名字为服务器自己的机器名为Win2008R2-A,所以我在客户端本地hosts文件中增加一条记录实现解析。