06-WindowsServer2012R2會話遠端桌面-標準部署-RD閘道器(RemoteApp)

技術小牛人發表於2017-11-16

Windows Server 2012 R2 會話遠端桌面-標準部署-RD閘道器(RemoteApp)

馬博峰

一、什麼是RD閘道器

遠端桌面閘道器（RD 閘道器），在早期版本的遠端桌面連線中稱為TS閘道器，在Windows server 2012 R2中成為Remote Desktop Gateway Server，RD閘道器使授權的遠端使用者能夠從任何聯網裝置連線到內部企業網路上的資源。RD 閘道器使用遠端桌面協議 (RDP)和 HTTPS 協議幫助建立一個更安全的加密連線，簡單來說，如果企業內部網路有多個遠端桌面（終端伺服器）要釋出到Internet，在通常的情況下，是需要將這些遠端桌面伺服器通過防火牆釋出到Internet（使用不同的埠），Internet上的使用者使用不同的埠連線到不同的內網伺服器。而在Windows Server 2012 R2中，通過配置RD閘道器，可以讓Internet使用“遠端桌面連線”程式，通過RD閘道器伺服器直接連線到內網的多個遠端桌面計算機。

在早期版本的遠端桌面連線中，使用者無法通過防火牆和網路地址轉換器連線到遠端計算機，這是因為通常會阻止用於遠端桌面連線的埠 3389 以增強網路安全性。但是，RD 閘道器伺服器使用埠 443，此埠可通過安全套接字層 (SSL) 隧道傳輸資料。

RD 閘道器伺服器具有以下優點：

1、支援從 Internet 到公司網路的遠端桌面連線，無須設定虛擬專用網路 (VPN) 連線。

2、支援跨越防火牆連線到遠端計算機。

3、允許與計算機上執行的其他程式共享網路連線。這樣，您就可以使用 ISP 連線而非公司網路來通過遠端連線方式傳送和接收資料。

4、通過遠端桌面閘道器管理器可以配置授權策略，以定義遠端使用者要連線到內部網路資源必須滿足的條件。例如，可以指定：

（1）可以連線到內部網路資源的使用者（即，可以連線的使用者組）。

（2）使用者可以連線到的網路資源（計算機組）。

（3）客戶端計算機是否必須是 Active Directory 安全組的成員。

（4）是否允許裝置的重定向。

（5）客戶端需要使用智慧卡身份驗證還是密碼身份驗證，還是可以使用任一方法。

5、可以將 RD 閘道器伺服器和遠端桌面服務客戶端配置為使用網路訪問保護 (NAP) 來進一步增強安全性（客戶端作業系統必須是XP，Vista，Windows 7，Windows 8）

6、可以利用RD 閘道器伺服器部署內外網隔離方案。

二、RD閘道器部署

RD閘道器伺服器通常都有2個不同的物理網路卡對應著2個不同的IP地址，一個是內網的IP地址，另一個則是外網或者是公網的IP地址，其主要功能就是使用者進行訪問的地址的轉換，從而安全的從企業外部網路訪問到內網中。如果能巧妙的利用RD閘道器這個角色，就可以實現很多種功能，比如一公司內部的辦公環境，員工的桌面是不能上網的，完全是一個閉塞的工作環境。但是部分領導要求自己的桌面上網，或者是某些應用程式能上網，但是又不能影響內部的環境。這種情況下，可以將RD閘道器部署在內網環境，而使用者訪問的的桌面或者應用程式伺服器（RDSH和RDHV）就可以部署在能上網的環境，這樣使用者通過內網訪問RD閘道器就可以安全的訪問自己的應用和桌面程式。完全可以做到使用者在內網環境中，使用者的QQ程式和郵箱程式可以上網，其它的程式則無法上網，完全做到了內外網的隔離。

但是大部分的企業是將RD閘道器部署在企業中DMZ區，通過防火牆讓不在公司內部的辦公人員進行遠端訪問，從而取代了VPN伺服器，RD閘道器伺服器可以是一臺物理伺服器，也可以是一臺虛擬機器，但是要確保RD閘道器能同時訪問內網和外網。

在此次配置中，使用的伺服器情況如下：

伺服器名稱	作業系統	IP設定	功能
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	域控制器
AD-DC.mabofeng.com	Windows Server 2012 R2	192.168.1.100	CA證書伺服器
BD-RDS.mabofeng.com	Windows Server 2012 R2	192.168.1.201	遠端桌面連線代理
RD-GW.mabofeng.com	Windows Server 2012 R2	192.168.1.76	遠端桌面閘道器
202.85.XXX.XXX

接下來就來安裝遠端桌面閘道器（RD 閘道器）角色

步驟1、首先以管理員的身份，登入到RD連線代理伺服器BD-RDS.mabofeng.com，執行伺服器管理器，在伺服器管理器中，點選遠端桌面服務-概述，在概述頁面中，可以看到部署概述，然後點選RD閘道器。

步驟2、在新增RD閘道器伺服器嚮導中，首先在伺服器池中選擇要安裝RD閘道器的伺服器，要安裝RD閘道器的伺服器事先要叫到內網的域中，點選箭頭將RD閘道器伺服器新增到右邊，然後點選下一步。

步驟3、在新增RD閘道器嚮導中命名自簽名SSL證書，SSL證書用於對遠端桌面服務客戶端和RD閘道器伺服器之前的通訊進行加密。自簽名SSL證書名稱必須域RD閘道器伺服器的完全限定域名（FQDN）相匹配，而FQDN必須與遠端桌面服務客戶端使用的RD閘道器伺服器名稱相匹配。這裡輸入RD-GW.mabofeng.com，然後點選下一步。

步驟4、在新增RD閘道器的卻仍選擇頁面中，檢視將要在伺服器上安裝RD閘道器角色伺服器，並將會此伺服器新增到部署中，然後點選新增。

步驟5、在檢視進度選項中，等待RD閘道器的完成安裝。

步驟6、在新增RD閘道器中的結果頁面裡，可以看見遠端桌面閘道器角色服務已經安裝成功，安裝完成後，則還需要進簡單的配置，在結果頁面中，點選配置證書。

步驟7、在部署屬性中的配置頁面中，選擇RD閘道器，點選選擇現有證書，然後點選應用，在之前的章節中，我們介紹瞭如何申請證書，以同樣的方法從域證書伺服器中申請證書，然後新增到這裡，點選確定。

步驟8、設定完成RD閘道器證書後，回到步驟6中，點選檢視部署RD閘道器的屬性，或者直接在步驟7中，配置玩證書後，直接點選RD閘道器，則可以檢視RD閘道器的屬性。在RD閘道器屬性中，可以選擇使用者的登入方式，一種是密碼身份驗證，另一種是智慧卡身份驗證，或者是讓使用者進行選擇。勾選對遠端計算機使用RD閘道器憑據，當遠端計算機登入RD閘道器時，則需要輸入憑據。勾選繞過本地地址的RD閘道器伺服器，如果是內網使用者訪問RD閘道器，則可以跳過RD閘道器伺服器，直接連線到RD連線代理伺服器。點選確定後。

步驟9、當完成安裝RD閘道器後，在部署概述中就可以看到RD閘道器的顏色變成了灰色，至此，RD閘道器的部署工作就完成了。

三、使用遠端桌面閘道器管理器配置RD閘道器

完成部署安裝RD閘道器後，接下來就是需要進行配置RD閘道器了，配置RD閘道器需要以域管理員的身份登入到RD閘道器伺服器中，使用遠端桌面閘道器管理器進行配置，除此之外，還需要對伺服器的防火牆進行配置，開啟相應的埠，關閉不用的埠，這裡就不做演示了，這裡主要介紹RD閘道器的配置選項。

步驟1、在RD閘道器伺服器中，開啟控制皮膚，選擇系統和安全，點選管理工具，然後點選遠端桌面服務，在遠端桌面服務資料夾中，就可以看到遠端桌面閘道器管理器。

步驟2、遠端桌面服務工具是隨著RD閘道器的安裝而安裝的，在其它遠端桌面角色中不會安裝此工具，如果想遠端管理RD閘道器，則需要在新增角色和功能嚮導中，選擇安裝遠端桌面閘道器工具。

步驟4、當開啟RD閘道器管理器後，就可以進行配置，RD閘道器管理器分為選單欄，樹狀結構，顯示一欄和操作一欄。

步驟5、在RD閘道器管理器中，右鍵點選RD-GW本地RD閘道器伺服器，在彈出的選單中選擇屬性，首先要對RD閘道器伺服器進行設定。

步驟6、在RD閘道器屬性中，首先是常規選項欄中，這裡可以設定最大連線數，就是使用者連線到RD閘道器伺服器的併發數量，如果併發數量較大可能會降低伺服器的效能，所以為了避免降低伺服器的效能，可以設定允許到伺服器的最大併發連線數限制。RD閘道器的連線總數包括了通過該伺服器的所有UDP/HTTP和RPC-HTTP連線。

步驟7、在RD閘道器屬性中的第二選項SSL證書選項中，可以設定RD閘道器的證書，RD閘道器證書是HTTPS/UDP偵聽程式的安全通訊和NAP訊息傳送所必須的，證書會自動繫結到配置的HTTP和UDP埠，由於之前我們已經申請了證書併成功的匯入了RD閘道器證書，所以在SSL證書一欄中，顯示了證書的詳細情況。如果沒有匯入證書，可以通過執行一些操作指定要為RD閘道器伺服器匯入的SSL證書型別。

步驟8、在RD閘道器屬性中的傳輸設定一欄中，設定RD閘道器的傳輸IP地址。可以修改HTTP和UPD的傳輸埠號碼，預設為443和3391，協議RPC-HTTP和HTTP傳輸共享相同的設定。

步驟9、在RD閘道器屬性中的RD CAP頁面中，指定是否執行網路側羅伺服器（NPS）的本地或中心伺服器上儲存的遠端桌面連線授權策略（RD CAP）。通過遠端桌面連線授權策略 (RD CAP)，可以指定可連線到 RD 閘道器伺服器的使用者。此過程描述如何建立新的本地RD CAP。此外，還可以指定中心RD CAP儲存。

步驟10、在RD閘道器屬性中的伺服器場頁面中，可以指定要包括在RD閘道器伺服器場中的RD閘道器伺服器。當在環境中部署了多個RD閘道器服務後，可將這些RD閘道器服務組成RD閘道器服務場，可以進行使用者的均衡負載和高可用性。

步驟11、在RD閘道器屬性中的稽核頁面中，設定為在RD閘道器中啟用日誌記錄，並選擇要記錄的事件。

步驟12、在RD閘道器屬性中的SSL橋接頁面中。可以設定RD閘道器配置為可與ISA伺服器或非微軟產品一起使用，以便執行安全套接字層（SSL）橋接。

步驟13、在RD閘道器屬性中的訊息頁面中，可以建立一個訊息，當使用者登入到自己應用或者是桌面時，使用者所看到的資訊。可以建立一個向以登陸遠端計算機的使用者顯示的訊息，也可以選擇每次使用者登入遠端計算機時向使用者顯示的訊息。可允許從支援RD閘道器訊息的遠端桌面客戶端進行連線。

四、使用遠端桌面閘道器管理器配置RD閘道器策略

除了對RD閘道器的設定外，還可以對使用登陸遠端計算機的使用者和裝置進行設定，他與域控制器上的域策略不衝突，只是針對用登陸遠端計算機的使用者和裝置進行設定，所以他分為使用者策略和裝置策略，在RD閘道器管理器中，策略選項中，可以看到連線授權策略和資源授權策略。這裡先點選連線授權策略，預設情況下會有一個RDG_CAP_AllUser的策略，可以對其進行修改，雙擊RDG_CAP_AllUsers。

步驟1、在RDG_CAP_AllUsers的屬性常規頁面中，可以更改RDG_CAP_AllUsers策略的名稱，並且選擇是否啟用，如果存在很多的策略，可以設定策略的順序級。

步驟2、在RDG_CAP_AllUsers的屬性要求頁面中，可以指定使用者連結到RD閘道器伺服器必須滿足的要求，可新增使用者組成員身份和客戶端計算機組成員身份，並選項受支援的windows身份驗證方法支援密碼和智慧卡選項，如果選擇了2種方法，每一種均可用於連線。

步驟3、在RDG_CAP_AllUsers的屬性裝置重定向頁面中，可以對使用RD閘道器進行連線的客戶端，在遠端會話中指定是啟用還是禁用對本地客戶端裝置和資源的訪問，RD閘道器裝置重定向用於執行遠端桌面連線的授信任客戶端。目前支援的裝置重定向有驅動器、剪貼簿、印表機、埠（僅COM和LPT）和支援的即插即用裝置。

步驟4、在RDG_CAP_AllUsers的屬性超時頁面中，指定遠端會話超時和重新連線設定，可以設定斷開會話前空閒時間和規定一定時間後會話超時，可以設定在達到會話超時之後，可以斷開會話連線或者預設重新對會話進行身份驗證和授權。

接下來，就可以針對資源授權策略進行設定，資源授權策略預設的名稱為RDG_ AllDmainComputers，可雙擊RDG_ AllDmainComputers進行修改。

步驟1、在RDG_ AllDmainComputers的屬性常規頁面中，使用RD CAP，可以指定使用者可通過RD閘道器連線的網路資源（計算機），可以更改策略的名稱和描述，並且選擇是否啟用。

–

步驟2、在RDG_ AllDmainComputers的屬性使用者組頁面中，指定其成員可通過RD閘道器連線到網路上的遠端計算機的使用者組，點選新增即可新增使用者組。

步驟3、在RDG_ AllDmainComputers的屬性網路頁面中，設定使用者可以使用RD閘道器連線到網路資源，網路資源包括Active Directory域服務安全組或遠端桌面伺服器場中的計算機。可以通過選擇Active Directory域服務安全組或者選擇現有RD閘道器管理的組或建立新組，或者允許使用者連線到任意網路資源。