06-Windows Server 2012 R2 会话远程桌面-标准部署-RD网关(RemoteApp)

Windows Server 2012 R2 会话远程桌面-标准部署-RD网关(RemoteApp)

马博峰

一、什么是RD网关

远程桌面网关（RD 网关），在早期版本的远程桌面连接中称为TS网关，在Windows server 2012 R2中成为Remote Desktop Gateway Server，RD网关使授权的远程用户能够从任何联网设备连接到内部企业网络上的资源。RD 网关使用远程桌面协议 (RDP)和 HTTPS 协议帮助创建一个更安全的加密连接，简单来说，如果企业内部网络有多个远程桌面（终端服务器）要发布到Internet，在通常的情况下，是需要将这些远程桌面服务器通过防火墙发布到Internet（使用不同的端口），Internet上的用户使用不同的端口连接到不同的内网服务器。而在Windows Server 2012 R2中，通过配置RD网关，可以让Internet使用“远程桌面连接”程序，通过RD网关服务器直接连接到内网的多个远程桌面计算机。

在早期版本的远程桌面连接中，用户无法通过防火墙和网络地址转换器连接到远程计算机，这是因为通常会阻止用于远程桌面连接的端口 3389 以增强网络安全性。但是，RD 网关服务器使用端口 443，此端口可通过安全套接字层 (SSL) 隧道传输数据。

RD 网关服务器具有以下优点：

1、支持从 Internet 到公司网络的远程桌面连接，无须设置虚拟专用网络 (VPN) 连接。

2、支持跨越防火墙连接到远程计算机。

3、允许与计算机上运行的其他程序共享网络连接。这样，您就可以使用 ISP 连接而非公司网络来通过远程连接方式发送和接收数据。

4、通过远程桌面网关管理器可以配置授权策略，以定义远程用户要连接到内部网络资源必须满足的条件。例如，可以指定：

（1）可以连接到内部网络资源的用户（即，可以连接的用户组）。

（2）用户可以连接到的网络资源（计算机组）。

（3）客户端计算机是否必须是 Active Directory 安全组的成员。

（4）是否允许设备的重定向。

（5）客户端需要使用智能卡身份验证还是密码身份验证，还是可以使用任一方法。

5、可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性（客户端操作系统必须是XP，Vista，Windows 7，Windows 8）

6、可以利用RD 网关服务器部署内外网隔离方案。

二、RD网关部署

RD网关服务器通常都有2个不同的物理网卡对应着2个不同的IP地址，一个是内网的IP地址，另一个则是外网或者是公网的IP地址，其主要功能就是用户进行访问的地址的转换，从而安全的从企业外部网络访问到内网中。如果能巧妙的利用RD网关这个角色，就可以实现很多种功能，比如一公司内部的办公环境，员工的桌面是不能上网的，完全是一个闭塞的工作环境。但是部分领导要求自己的桌面上网，或者是某些应用程序能上网，但是又不能影响内部的环境。这种情况下，可以将RD网关部署在内网环境，而用户访问的的桌面或者应用程序服务器（RDSH和RDHV）就可以部署在能上网的环境，这样用户通过内网访问RD网关就可以安全的访问自己的应用和桌面程序。完全可以做到用户在内网环境中，用户的QQ程序和邮箱程序可以上网，其它的程序则无法上网，完全做到了内外网的隔离。

但是大部分的企业是将RD网关部署在企业中DMZ区，通过防火墙让不在公司内部的办公人员进行远程访问，从而取代了VPN服务器，RD网关服务器可以是一台物理服务器，，也可以是一台虚拟机，但是要确保RD网关能同时访问内网和外网。

在此次配置中，使用的服务器情况如下：

服务器名称

操作系统

IP设置

功能

AD-DC.mabofeng.com

Windows Server 2012 R2

192.168.1.100

域控制器

AD-DC.mabofeng.com

Windows Server 2012 R2

192.168.1.100

CA证书服务器

BD-RDS.mabofeng.com

Windows Server 2012 R2

192.168.1.201

远程桌面连接代理

RD-GW.mabofeng.com

Windows Server 2012 R2

192.168.1.76

远程桌面网关

202.85.XXX.XXX

接下来就来安装远程桌面网关（RD 网关）角色

步骤1、首先以管理员的身份，登录到RD连接代理服务器BD-RDS.mabofeng.com，运行服务器管理器，在服务器管理器中，点击远程桌面服务-概述，在概述页面中，可以看到部署概述，然后点击RD网关。

步骤2、在添加RD网关服务器向导中，首先在服务器池中选择要安装RD网关的服务器，要安装RD网关的服务器事先要叫到内网的域中，点击箭头将RD网关服务器添加到右边，然后点击下一步。

步骤3、在添加RD网关向导中命名自签名SSL证书，SSL证书用于对远程桌面服务客户端和RD网关服务器之前的通信进行加密。自签名SSL证书名称必须域RD网关服务器的完全限定域名（FQDN）相匹配，而FQDN必须与远程桌面服务客户端使用的RD网关服务器名称相匹配。这里输入RD-GW.mabofeng.com，然后点击下一步。

步骤4、在添加RD网关的却仍选择页面中，查看将要在服务器上安装RD网关角色服务器，并将会此服务器添加到部署中，然后点击添加。

步骤5、在查看进度选项中，等待RD网关的完成安装。

步骤6、在添加RD网关中的结果页面里，可以看见远程桌面网关角色服务已经安装成功，安装完成后，则还需要进简单的配置，在结果页面中，点击配置证书。

步骤7、在部署属性中的配置页面中，选择RD网关，点击选择现有证书，然后点击应用，在之前的章节中，我们介绍了如何申请证书，以同样的方法从域证书服务器中申请证书，然后添加到这里，点击确定。

我知道按攻略去旅行的人往往玩得过于按步就班，