河南 劉進(jìn)京

RD 網(wǎng)關(guān)的作用

對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō)，當(dāng)其訪問(wèn)虛擬應(yīng)用程序或者虛擬桌面時(shí)，會(huì)直接使用TCP/UDP 3389 端口和相關(guān)主機(jī)建立RDP 連接。對(duì)于外部用戶來(lái)說(shuō)，必須利用SSL 協(xié)議和RD 網(wǎng)關(guān)的TCP 443 端口建立安全連接，會(huì)通過(guò)證書進(jìn)行加密。RD 網(wǎng)關(guān)再和內(nèi)部遠(yuǎn)程桌面服務(wù)器之間建立RDP 連接，這樣，就可以有效保護(hù)內(nèi)部的虛擬資源，而無(wú)需將其發(fā)布到外部網(wǎng)絡(luò)。

RD 網(wǎng)關(guān)會(huì)部署到DMZ 區(qū)域，其基本的單位稱為遠(yuǎn)程桌面的Farm（即服務(wù)器場(chǎng)），在一個(gè)Farm 中可以包含一臺(tái)或者多臺(tái)網(wǎng)關(guān)服務(wù)器，可以實(shí)現(xiàn)負(fù)載均衡。當(dāng)遠(yuǎn)程用戶連接到RD 網(wǎng)關(guān)后，試圖訪問(wèn)內(nèi)網(wǎng)資源時(shí)，會(huì)收到RD 網(wǎng)關(guān)策略的管控。RD 網(wǎng)關(guān)的策略包括CAPs（即Client Authorization Policies）和 RAPs（即 Resource Authorization Policies）兩種類型。

對(duì)于前者來(lái)說(shuō)，指的是客戶端授權(quán)策略，可以設(shè)置哪些用戶和計(jì)算機(jī)可以進(jìn)行連接，哪些則不能連接等。對(duì)于后者來(lái)說(shuō)，指的是資源授權(quán)策略，可以設(shè)置合規(guī)的用戶可以訪問(wèn)哪些資源，例如只能訪問(wèn)Remore App 程序等。利用上述策略，管理可以對(duì)用戶訪問(wèn)進(jìn)行精準(zhǔn)的控制，讓特定的用戶只能訪問(wèn)指定的資源。此外，管理員還可以使用RD 網(wǎng)關(guān)，從外部連接到內(nèi)部的服務(wù)器，對(duì)其進(jìn)行有效管理。

配置所需的證書

在DC 上打開證書頒發(fā)機(jī)構(gòu)窗口，在左側(cè)選擇“證書模版”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在打開窗口中選擇“Web 服務(wù)器”模版，在右鍵菜單上點(diǎn)擊“復(fù)制模版”項(xiàng)，在新模版屬性窗口（如圖1）中的“常規(guī)”面板中輸入名稱（例如“RDS Certifacation”），在“請(qǐng)求處理”面板中選擇“允許導(dǎo)出私鑰”項(xiàng)，在“使用者名稱”面板中選擇“在請(qǐng)求中提供”項(xiàng)，點(diǎn)擊“安全”面板中點(diǎn)擊“添加”按鈕，輸入“Domain Computers”，添加該組。

圖1 設(shè)置證書模版屬性

當(dāng)然，為了實(shí)現(xiàn)更加精準(zhǔn)的控制，可以在活動(dòng)目錄中創(chuàng)建新的組（例如“RemoteDesktop Servers”等），將和遠(yuǎn)程桌面相關(guān)的服務(wù)器移動(dòng)到該組中，之后將該組添加進(jìn)來(lái)。選擇上述組，在權(quán)限列表中農(nóng)的“注冊(cè)”行選擇“允許”項(xiàng)，允許該組中的主機(jī)來(lái)申請(qǐng)證書。在證書頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇“證書模版”項(xiàng)，在右側(cè)的彈出菜單中選擇“新建”-“要頒發(fā)的證書模版”項(xiàng)，選擇上述模版，點(diǎn)擊確定按鈕，將其發(fā)布出去。

執(zhí)行“mmc”程序，在控制臺(tái)窗口中點(diǎn)擊菜單“文件”-“添加/ 刪除管理單元”項(xiàng)，在列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，將其添加進(jìn)來(lái)。在控制臺(tái)左側(cè)選擇“證書”-“個(gè)人”-“證書”項(xiàng)，在右側(cè)空白處點(diǎn)擊右鍵，在彈出菜單中選擇“所有任務(wù)”-“申請(qǐng)新證書”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory 注冊(cè)策略”項(xiàng)，點(diǎn)擊下一步按鈕，選擇上述證書模版。

點(diǎn)擊“注冊(cè)此證書需要詳細(xì)信息，單擊這里以配置設(shè)置”項(xiàng)，在證書屬性窗口中的“使用者名稱”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入“rdgw.xxx.com”，點(diǎn)擊“添加”按鈕將其添加到右側(cè)列表中。對(duì)于RD 網(wǎng)關(guān)來(lái)說(shuō)，主要提供給外部用戶使用，因此需要針對(duì)外部用戶設(shè)置所需的DNS 名稱。在“備用名稱”列表中選擇“DNS”項(xiàng)，在“值”欄中輸入“rdgw.xxx.com”。點(diǎn)擊“添加”按鈕將其導(dǎo)入進(jìn)來(lái)。注意，該地址需要在公網(wǎng)的DNS 中指定好，上述兩個(gè)名稱必須一致。點(diǎn)擊確定按鈕，在上級(jí)窗口中點(diǎn)擊“注冊(cè)”按鈕，后去所需的證書。選擇該證書，在其右鍵菜單上點(diǎn)擊“導(dǎo)出”項(xiàng)，在向?qū)Т翱谥羞x擇“是，導(dǎo)出私鑰”項(xiàng)，點(diǎn)擊下一步按鈕，選擇“密碼”項(xiàng)輸入密碼，之后將其導(dǎo)出為獨(dú)立的文件（后綴為“.pfx”）。

部署和配置RD 網(wǎng)關(guān)

登錄到域中某臺(tái)服務(wù)器上，在服務(wù)器管理器中左側(cè)選擇“遠(yuǎn)程桌面服務(wù)”項(xiàng)，在打開窗口中的“部署概述”欄中點(diǎn)擊“添加RD 網(wǎng)關(guān)”按鈕，在向?qū)Ы缑嬷械摹胺?wù)器池”列表中選擇一臺(tái)或者多臺(tái)服務(wù)器，來(lái)組成RD 網(wǎng)關(guān)服務(wù)器場(chǎng)。

例如這里選擇“RDgw1”和“RDgw2”兩臺(tái)服務(wù)器，點(diǎn)擊下一步按鈕，即可對(duì)選定的服務(wù)器進(jìn)行連接。在“SSL證書名稱(使用RD 網(wǎng)關(guān)服務(wù)器的外部FQDN)”欄中輸入RD 網(wǎng)關(guān)證書名稱（例如“rdgw.xxx.com”）。該證書提供給外部用戶使用。

圖2 為RD 網(wǎng)關(guān)配置證書

因?yàn)槭褂昧藘膳_(tái)RD 網(wǎng)關(guān)服務(wù)器，可以實(shí)現(xiàn)負(fù)載和均衡，所以這即是其Load Balance 名稱。在下一步窗口中點(diǎn)擊“添加”按鈕，即可在上述服務(wù)器上安裝RD 網(wǎng)關(guān)的角色。這里為了簡(jiǎn)單起見(jiàn)，使用DNS 輪詢的方式，來(lái)實(shí)現(xiàn)RD 網(wǎng)關(guān)的負(fù)載均衡。事先以管理員身份登錄到DC 上，在DNS 管理器窗口左側(cè)選擇“DNS”-“DC”-“正向查找 區(qū)域”-“xxx.com”項(xiàng)，在其右鍵菜單上依次點(diǎn)擊“新建主機(jī)”項(xiàng)，新建兩條記錄，其名稱相同（例如“rdgw”），IP 分別為上述兩臺(tái)RD 網(wǎng)關(guān)服務(wù)器的地址。

當(dāng)網(wǎng)關(guān)角色安裝之后，點(diǎn)擊“配置證書”項(xiàng)，在配置部署窗口（如圖2）中選擇“RD網(wǎng)關(guān)”項(xiàng)，點(diǎn)擊“選擇現(xiàn)有證書”按鈕，選擇“選擇其他證書”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇上述導(dǎo)出的證書，輸入導(dǎo)出的密碼，選擇“允許向目標(biāo)計(jì)算機(jī)上受信任的根證書頒發(fā)機(jī)構(gòu)證書存儲(chǔ)中添加證書”項(xiàng)，點(diǎn)擊應(yīng)用按鈕，即可為RD網(wǎng)關(guān)服務(wù)器配置證書。

在服務(wù)器管理器中打開遠(yuǎn)程桌面服務(wù)窗口，在“部署概述”欄的右側(cè)列表中選擇“編輯部署屬性”項(xiàng)，在配合部署窗口左側(cè)選擇“RD 網(wǎng)關(guān)”項(xiàng)，在右側(cè)確保選擇“使用這些RD 網(wǎng)關(guān)服務(wù)器設(shè)置”項(xiàng)，檢查服務(wù)器名稱是否正確。如果取消“繞過(guò)本地地址的RD 網(wǎng)關(guān)服務(wù)器”項(xiàng)的選擇狀態(tài)，那么內(nèi)網(wǎng)的而用戶也必須使用RD 網(wǎng)關(guān)，來(lái)訪問(wèn)遠(yuǎn)程桌面資源。

使用RD 網(wǎng)關(guān)進(jìn)行訪問(wèn)

從外網(wǎng)某臺(tái)客戶機(jī)上打開瀏覽器，訪問(wèn)“http://rdwa.xxx.cpm/rdweb”之類的地址，來(lái)連接遠(yuǎn)程桌面的Web 訪問(wèn)服務(wù)器，輸入合適的域賬戶名稱和密碼，點(diǎn)擊登錄按鈕，進(jìn)入遠(yuǎn)程桌面資源管理界面，在“RemoteApp 和桌面”窗口中選擇某個(gè)虛擬桌面，在連接面板中的“網(wǎng)關(guān)服務(wù)器”欄中顯示上述RD網(wǎng)關(guān)主機(jī)的域名。點(diǎn)擊連接按鈕，輸入正確的用戶名和密碼，就可以進(jìn)入該虛擬桌面環(huán)境中。在客戶機(jī)上打開CMD 窗口，執(zhí)行“netstat-an”命令，在網(wǎng)絡(luò)連接列表中可以看到，本機(jī)已經(jīng)和RD網(wǎng)關(guān)的TCP 443 接口之間建立了的可靠連接。

圖3 在遠(yuǎn)程連接中設(shè)置RD 網(wǎng)關(guān)信息

進(jìn)入該虛擬桌面，在CMD窗口執(zhí)行“netstat -an”命令，可以看到該虛擬桌面也和RD 網(wǎng)關(guān)連接了SSL 連接?？梢钥闯觯琑D 網(wǎng)關(guān)服務(wù)器可以很好的保護(hù)內(nèi)網(wǎng)資源的安全。登錄到某臺(tái)RD 網(wǎng)關(guān)服務(wù)器，打開遠(yuǎn)程桌面網(wǎng)關(guān)管理器，在左側(cè)選擇當(dāng)前的網(wǎng)關(guān)服務(wù)器，在右側(cè)的“連接總數(shù)”欄中顯示連接主機(jī)數(shù)量。點(diǎn)擊“監(jiān)視使用中的連接”項(xiàng)，會(huì)顯示詳細(xì)的連接信息，包括連接ID、用戶ID、用戶名、連接時(shí)間、連接時(shí)段、目標(biāo)計(jì)算機(jī)、客戶端IP 等內(nèi)容。

對(duì)于網(wǎng)管人員來(lái)說(shuō)，希望直接連接到后臺(tái)服務(wù)器，對(duì)其進(jìn)行管理操作、對(duì)于遠(yuǎn)程桌面架構(gòu)來(lái)說(shuō)，只會(huì)將RD Web 訪問(wèn)服務(wù)和RD 網(wǎng)關(guān)發(fā)布出去，讓外部的用戶進(jìn)行連接，對(duì)于這兩個(gè)服務(wù)來(lái)說(shuō)，其使用的都是TCP 443 端口。例如管理員出差在外，想對(duì)內(nèi)網(wǎng)中的資源進(jìn)行管理，可以運(yùn)行“mstsc.exe”程序，在遠(yuǎn)程桌面連接窗口底部點(diǎn)擊“選項(xiàng)”項(xiàng)，在“高級(jí)”面板中點(diǎn)擊“設(shè)置”按鈕，在打開窗口（如圖3）中選擇“使用這些RD 網(wǎng)關(guān)服務(wù)器設(shè)置”項(xiàng)，輸入RD 網(wǎng)關(guān)的名稱或地址。

如果使用的憑據(jù)一致的話，可以選擇“將我的RD 網(wǎng)關(guān)憑據(jù)用于遠(yuǎn)程計(jì)算機(jī)”項(xiàng)。當(dāng)再次連接時(shí)，會(huì)提示輸入正確的憑據(jù)信息，之后先連接到RD 網(wǎng)關(guān)服務(wù)器，之后才會(huì)連接到內(nèi)網(wǎng)中的目標(biāo)主機(jī)，當(dāng)然該主機(jī)必須開啟TCP 3389 端口。

配置RD 網(wǎng)關(guān)授權(quán)策略

對(duì)于外部用戶來(lái)說(shuō)，之所以可以順利連接RD 網(wǎng)關(guān)，來(lái)使用虛擬桌面等資源，是因?yàn)镽D 網(wǎng)關(guān)的默認(rèn)策略在發(fā)揮作用。

登錄到某臺(tái)RD 網(wǎng)關(guān)服務(wù)器上，在RD 網(wǎng)關(guān)管理器左側(cè)選擇“策略”-“連接授權(quán)策略”項(xiàng)，在右側(cè)顯示默認(rèn)的名為“RDG_CAP_AllUsers”的策略，該策略讓域中“Domain Users”組中的用戶，都有權(quán)限連接到RD 網(wǎng)關(guān)服務(wù)器。

在左側(cè)選擇“策略”-“資源授權(quán)策略”項(xiàng)，在右側(cè)也會(huì)顯示相關(guān)的默認(rèn)策略，允許上述組中的用戶連接到域中名為“Domain Conputer”的OU 中的所有開啟了TCP 3389 端口的主機(jī)。

圖4 創(chuàng)建連接授權(quán)策略

為了實(shí)現(xiàn)精準(zhǔn)的控制，可以左側(cè)選擇“策略”-“連接授權(quán)策略”項(xiàng)，在右側(cè)點(diǎn)擊“新建策略”-“自定義”項(xiàng)，在打開窗口（如圖4）中輸入策略的名稱（例如“rdgwpolicy1”），在“要 求”面板中的“用戶組成員身份”欄中點(diǎn)擊“添加組”按鈕，在選擇組窗口中輸入合適的組名（例 如“Doamin Admins”等），點(diǎn)擊確定按鈕，將該組添加進(jìn)來(lái)。在“客戶端計(jì)算機(jī)組成員身份”欄中點(diǎn)擊“添加組”按鈕，輸入合適的計(jì)算機(jī)組的名稱，將其添加進(jìn)來(lái)。

這樣，只有指定組中的用戶，使用指定組中的計(jì)算機(jī)才可以順利的連接RD 網(wǎng)關(guān)，其余的用戶將被拒絕。

在“設(shè)備重定向”面板中如果選擇“禁用以下客戶端設(shè)備類型的設(shè)備重定向”項(xiàng)，可以根據(jù)實(shí)際需要，選擇禁用的重定向設(shè)備，包括驅(qū)動(dòng)器、剪貼板、打印機(jī)、端口、支持的即插即用設(shè)備等。在“超時(shí)”面板中選擇“啟用空閑超時(shí)”項(xiàng)，輸入斷開會(huì)話連接前的空閑時(shí)間，默認(rèn)為120分鐘。這樣，如果當(dāng)客戶端連接到RD 網(wǎng)關(guān)后，在預(yù)設(shè)的時(shí)間內(nèi)沒(méi)有任何操作，則連接會(huì)被自動(dòng)斷開。

點(diǎn)擊確定按鈕，保持該策略。對(duì)于默認(rèn)的策略來(lái)說(shuō)，可以點(diǎn)擊右側(cè)的“禁用”按鈕，將其禁用掉。

在左側(cè)選擇“策略”-“資源授權(quán)策略”項(xiàng)，在右側(cè)點(diǎn)擊“新建策略”-“自定義”項(xiàng)，在打開窗口中輸入策略的名稱（例如“zypoy”），在“用戶組”面板中添加合適的用戶組。

在“網(wǎng)絡(luò)資源”面板中選擇“選擇Active Directory域服務(wù)網(wǎng)關(guān)資源組”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇一個(gè)或者多個(gè)合適的組（需要在活動(dòng)目錄中預(yù)先配置，在其中添加RD 會(huì)話主機(jī)等服務(wù)器）。對(duì)于沒(méi)有加入到域中的主機(jī)來(lái)說(shuō)，可以選擇“選擇現(xiàn)有RD網(wǎng)關(guān)管理的組或創(chuàng)建新組”項(xiàng)，點(diǎn)擊瀏覽按鈕，在打開窗口中點(diǎn)擊“創(chuàng)建新組”按鈕，創(chuàng)建新的組，輸入工作組中的主機(jī)IP 將其添加進(jìn)來(lái)即可。點(diǎn)擊確定按鈕，創(chuàng)建該策略。

按照該方法，可以創(chuàng)建多個(gè)資源授權(quán)策略。這樣，只有符合條件的用戶，才可以訪問(wèn)指定的資源。

配置RD 網(wǎng)關(guān)服務(wù)器屬性

因?yàn)檫@里使用了多臺(tái)RD網(wǎng)關(guān)，實(shí)現(xiàn)了其高可用性。所以需要登錄到其他的RD服務(wù)器上，添加相同的策略并禁用默認(rèn)的策略。當(dāng)然，對(duì)于RD 網(wǎng)關(guān)服務(wù)器場(chǎng)來(lái)說(shuō)，每次修改策略都需要手工在每臺(tái)服務(wù)器上設(shè)置的話，操作起來(lái)是比較繁瑣的。

可以在其中任意一臺(tái)服務(wù)器上打開RD 網(wǎng)關(guān)管理器，選擇“策略”-“連接授權(quán)策略”項(xiàng)，在右側(cè)點(diǎn)擊“配置中心 RD CAP”項(xiàng)，在RD 網(wǎng)關(guān)屬性窗口中的“RD CAP 存儲(chǔ)”面板中選擇“運(yùn)行NPS 的中心服務(wù)器”項(xiàng)，輸入目標(biāo)NPS服務(wù)器的地址，點(diǎn)擊“添加”按鈕，將其添加進(jìn)來(lái)。這樣，將RD 網(wǎng)關(guān)和NPS（網(wǎng)絡(luò)訪問(wèn)保護(hù)）角色結(jié)合起來(lái)，將不同RD 網(wǎng)關(guān)服務(wù)器的授權(quán)策略集中保存到指定的NPS 服務(wù)器上。只要在任何一臺(tái)RD 網(wǎng)關(guān)服務(wù)器上修改了策略，都會(huì)自動(dòng)同步到所有的RD 網(wǎng)關(guān)服務(wù)器上。

對(duì)于資源授權(quán)策略來(lái)說(shuō)，是無(wú)法集中管理和同步的。在“常規(guī)”面板中可以根據(jù)需要，設(shè)置允許連接的最大數(shù)量。

在“傳輸設(shè)置”面板中的“HTTP 傳輸設(shè)置”欄中可以選擇指定的IP（如果配置了多塊網(wǎng)卡的話），修改HTTPS端口（默認(rèn)為TCP 443）。

選擇“啟用UDP 傳輸”項(xiàng)，可以啟用優(yōu)化傳輸功能，設(shè)置所需的UCP 端口（默認(rèn)為UDP 3391），當(dāng)用戶連接成功后，可以使用該UDP 端口傳輸數(shù)據(jù)，這適用于網(wǎng)絡(luò)傳輸環(huán)境較差的情形。

在“服務(wù)器場(chǎng)”面板中可以添加所有RD 網(wǎng)關(guān)服務(wù)器，組成服務(wù)器場(chǎng)，并且可在列表中直接查看狀態(tài)信息。