通常内部要管理的遠端桌面伺服器很多,在防火牆上都釋出比較麻煩,此時我們隻需在DMZ區部署一台遠端桌面網關伺服器将它釋出即可解決問題,外網的使用者使用HTTPS協定連接配接到遠端桌面網關伺服器,然後遠端桌面網關伺服器再把外網使用者的通路請求重定向到内網的任何一台遠端桌面伺服器上。這樣一來由于外網使用者使用的是網際網路上應用廣泛的HTTP協定,基本不用擔心在網際網路上被攔截,同時也保障了資料在傳輸過程中的安全性
伺服器相關資訊
1.申請證書
遠端桌面網關伺服器需要用到證書,證書的申請方法在第三章有詳解,申請過程需要注意證書屬性中的備用名稱DNS項,這裡有多個域名,TMG在釋出時會用到這張證書,這樣一來,此證書就可以同時滿足遠端桌面網關伺服器和遠端桌面Web通路伺服器以及證書吊銷清單的對外釋出
最後導入到【個人】容器
2.安裝遠端桌面網關伺服器
添加角色
勾選【遠端桌面服務】
勾選【遠端桌面網關】
這裡會自動添加相應元件
選擇證書
建立授權政策
這裡設定哪些組可以通過遠端桌面網關通路到内部網絡資源,這裡我添加了【Domain Users】組
CAP政策指的是遠端桌面連接配接授權政策,CAP政策用于指定連接配接到遠端桌面網關伺服器的使用者,選擇身份驗證方法為【密碼】
RAP政策是遠端桌面資源授權政策,用于指定遠端使用者通過遠端桌面網關通路到内網的網絡資源
CAP和RAP政策需要有網絡政策伺服器的支援,向導自動勾選了【網絡政策伺服器】角色
列出了IIS7中所需要的元件詳細清單
點選【安裝】
點選【關閉】後安裝成功
3.建立防火牆政策
由于遠端桌面伺服器是在DMZ區,用戶端在内網,預設情況下TMG不允許兩個網絡之間的任何通訊,是以我們這裡要建立一條防火牆政策,允許DMZ區和内網的雙向通訊
4.連接配接測試
打開bjxp上的【遠端桌面連接配接】,輸入想要連接配接的遠端桌面伺服器的名稱和使用者名
這裡是bjrd.zf.com
切換到【進階】卡片,打開【設定】
設定遠端桌面網關
這裡是bjrdgw.zf.com
點【連接配接】後會要求身份驗證
驗證通過後成功連接配接到了bjrd.zf.com這台遠端桌面伺服器上
在客戶機bjxp上打開CMD,輸入netstat -n,從輸出結果可以看出,客戶機确實是使用HTTPS協定先連接配接到遠端桌面網關伺服器的443端口,然後遠端桌面網關伺服器再将連接配接重定向到bjrd.zf.com上的
其實用戶端在區域網路内部使用遠端桌面網關伺服器意義不大,遠端桌面網關伺服器真正的作用是為了友善的讓路由器或者防火牆之外的用戶端能通過443端口輕松的連接配接到内部任何一台遠端桌面伺服器上,并能夠使用RemoteApp程式,下篇會做詳解