uu彩票网页版Windows Server远程桌面网关深入浅出

  • 时间:
  • 浏览:6

  随着信息技术的不断发展,使得在任何地方都将会进行IT资源部署,尤其是服务器资源的部署。而亲身在现场进行部署将会工作对于IT人员来讲无须现实,会耗费絮状的人力物力。远程桌面服务可不须要实现远程访问,操控资源,从而提供了五种生活方便快捷的法律方法来进行服务器的远程管理。远程桌面网关服务作为实现远程桌面服务的核心技术,实现了接受远程访问要求,控制远程访问的工作。

  本文将从四部分对Windows Server远程桌面网关服务进行讨论,该服务是世纪互联蓝云运营的Microsoft Azure公有云平台实现的客户远程访问公有云资源的核心服务。本文首先对远程桌面服务和远程桌面网关服务进行介绍,其中介绍了包括实现服务所须要的角色和功能,远程桌面网关服务的基本原理,还会 对远程桌面网关的核心协议进行讨论,接下来介绍了如可在Windows Server 10008 R2服务器上部署远程桌面网关服务,在本文最后的部分,探讨了五种生活在日常工作中与远程桌面网关服务相关的将会再次跳出的疑问,提供了相应的除理思和法律方法。

  远程桌面服务可不须要实现或多或少功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可不须要单会话实现远程运行,远程使用Web应用线程池等功能。

  为了实现上述功能,Windows Server远程桌面服务中有 了六种关键角色,如表1-1所示,表1-1 远程服务角色及作用

  实现服务器去承载远程应用作为基于会话的桌面,用户可不须要使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源。

  实现另4个 服务器可不须要管理客户端访问授权,该授权可不须要允许每个设备将会用户连接基于远程桌面会话的服务器。

  远程桌面服务提供了一系列的除理方案来实现用户远程访问或是操作,为用户提供了便利。下面亲们继续介绍本文的重点内容远程桌面网关。

  上一小节概要的介绍了远程桌面服务,以及该服务所中有 的相应功能。本小节将会介绍本章的重点内容--远程桌面网关。

  远程桌面网关(Remote Desktop Gateway)在上小节中提到是作为另4个 角色来实现允许被授权的用户通过公有网络来访问位于私有网络中的资源,资源可不须要是远程服务器、将会运行远程应用的服务器,也可不须要是远程桌面的服务器将会另一方电脑。远程桌面网关使用在安全超文本传输协议(HTTPS)上的远程桌面协议(RDP)来在公共网络中进行远程访问和在私有网络中的设备将会服务器之间建立另4个 安全加密的连接。

  用户通过互联网,也要是通过公共网络直接去尝试连接在防火墙里边的资源时,须要在防火墙上3389端口将会或多或少远程桌面的端口。将会是不方便相应端口,远程访问操作也就都可不能不能实现。

  最后另4个 疑问是即便在防火墙上了3389端口也是不安全的,将会会对私有网络中位于还会 了3389或相应远程桌面端口的服务器将会资源造成安全,将会任何人都可不须要尝试远程桌面端口来进行服务器端的密码破解。

  Windows Server远程桌面网关可不须要很好的除理上述三点疑问,将会远程桌面网关中有 了以下特征,

  · 提供了友好的法律方法,可不须要帮助管理人员随时远程桌面网关具体情况,健康度和事件,已达到更好管理的目的。

  当亲们在中部署了远程桌面网关刚刚,客户端的连接远程桌面会话主机的法律方法位于了根本的变化,如图1-3所示,

  亲们可不须要看一遍,在公网(Internet)的用户使用笔记本(Home Laptop)想访问公司内部的私有网络中(Corporate/Private Network)的服务器或台式机,首先须要先与远程桌面网关服务通过基于安全套字节层的远程桌面协议(RDP over SSL)建立另4个 安全的通信通道,还会 再通过远程桌面网关的远程桌面端口连接到公司内部的资源的远程桌面3389端口,这麼 就建立起了十根从用户到远程终端的安全通信链。

  本章介绍了远程桌面与远程桌面网关的基本概念,其中包括了各个远程桌面的角色,以及每个角色可不须要实现的功能。另外通过分析用户远程访问时所面临的疑问,引出了Windows Server远程桌面网关的优势,最后介绍了远程桌面网关部署后的访问法律方法。

  从第一章的介绍可知,另4个 用户你要从邻居家访问公司内部生产中的服务器是通过十根安全的通道来进行通信的,故如可建立这条安全通道是实现远程桌面网关服务的重点。而建立通道所须要的协议则是核心,本章主要研究远程桌面网关的核心协议。

  远程桌面网关使用远程桌面网关协议集实现用户远程访问,协议从远程桌面网关客户端到远程桌面网关服务器在中立区域建立十根隧道,远程桌面网关客户端会利用该隧道来在客户端和终端服务器之间建立十根通道,数据则通过这条通道在客户端和终端服务器之间进行传输。隧道和通道一起活跃的通信连接。

  客户端会建立十根主通道到终端服务器,还可不须要建立零到多个辅助通道,远程桌面网关协议使用RPC Over HTTP和HTTP五种生活协议来进行主通道的建立,该协议还使用UDP传输协议来建立侧通道。

  由2.1小节可知,远程桌面网关使用了RPC over HTTP、HTTP以及UDP协议进行通道建立来实现用户与终端服务器之间的通信。你这俩小节来介绍每个协议进行通道建立,数据传输,通道关闭等功能的具体步骤。

  远程桌面网关服务器协议使用RPC over HTTP来进行通道建立,数据传输,通道关闭。从远程桌面网关服务器到客户端执行RPC out pipe,从客户端到远程桌面网关执行RPC calls来实现通信。下面来研究每一步的过程。

  通道的建立分为从客户端到远程桌面网关服务器,再从远程桌面网关服务器到终端服务器两部分,你这俩过程中有 了四个操作步骤,

  在建立连接过程中,客户端会根据网关服务器的所支持的协议版本、服务器证书利用TsProxyCreateTunnel法律方法建立十根隧道。接下来利用TsProxyAuthorizeTunnel法律方法对远程桌面网关客户端执行授权规则,其中包括健康检查,强制用户授权的隧道认证操作,刚刚将会客户端和网关服务器都都可不能不能发送和接收管理消息,远程桌面网关客户端可不须要调用TsProxyMakeTunnelCall法律方法来请求消息。最后利用TsProxyCreateChannel法律方法在将会建立好的隧道中建立另4个 通道来实现接下来的数据传输工作。

  2.2.1.2 数据传输:数据传输过程将允许从客户端到终端服务器进行数据传输工作,在你这俩工作成,远程桌面网关服务器扮演者另4个 里边代理者的角色,如图2-2所示,

  远程桌面网关客户端会与远程桌面网关服务器建立另4个 连接,还会 远程桌面服务器再跟终端服务器建立十根的连接,这麼 ,从客户端到终端服务器的这条逻辑链称为十根通道,而这条通道都可不能不能建立在隧道之内,但另4个 隧道可不须要容纳多条通道一起通信。

  数据从终端服务器到客户端通过远程桌面网关服务器使用out pipe进行传输。远程桌面网关服务器协议使用RPC out pipes将数据从远程桌面网关服务器到客户端进行数据流化传输。数据流的工作是由TsProxySetupReceivePipe法律方法来实现的,另4个 通道一次只可不须要调用一次该法律方法。而数据从客户端通过远程桌面网关服务器传输至终端服务器时,会调用TsProxySendToServer法律方法来实现数据的传输,具体过程如图2-3所示,

  2.1.1.3 现在刚开始过程:现在刚开始过程是去终止通道和隧道的过程,其中中有 了关闭通道,取消等待图片消息以及关闭隧道另4个 子过程,如图2-4所示,

  远程桌面网关客户端都可不须要发起现在刚开始过程,客户端使用TsProxyCloseChannel法律方法来启动你这俩过程,该过程会关闭在传输数据过程中所使用的RPC out pipe,而远程桌面网关服务器则发送另4个 RPC response protocol data unit(PDU)来现在刚开始通过TsProxySetupReceivePipe法律方法来建立的数据传输。将会远程桌面网关客户端还有对于远程桌面网关服务器的等待图片的管理消息的请求,客户端将调用TsProxyMakeTunnel法律方法来取消该请求。在结果过程的最后,当所有的通道关闭后,会调用TsProxyCloseTunnel法律方法来关闭隧道,整个过程现在刚开始。

  远程桌面网关超文本协议(RDGWHTTP)使用超文本协议(HTTP)来创建两条通信通道,分别负责接收来自远程桌面网关服务器和发送数据到远程桌面网关服务器,每十根通道被加密协议SSL所,这也是部署远程桌面网关服务器最常用的五种生活协议。RDGWHTTP使用HTTP协议来实现四个过程,分别为建立连接与认证、创建隧道和通道、数据传输以及关闭连接。

  OUT和IN通道是十根HTTP1.1连接,将会远程桌面网关服务器和远程桌面网关客户端支持WebSocket协议,那OUT通道和IN通道便可实现双向通信功能,将会不支持,则OUT通道负责远程桌面网关的数据发送,而IN通道则负责数据输入工作。通道建立完成后进行认证过程,如图2-5所示。

  远程桌面网关客户端与远程桌面网关服务器通过交换由HTTP请求和响应主体的消息来实现创建隧道和通道的过程,你这俩过程中有 交换版本和能力协调信息,创建隧道,认证隧道,创建通道四部分操作,如图2-6所示。

  在数据和服务器消息交换过程中,远程桌面网关服务器和远程桌面网关客户端使用IN通道和OUT通道来进行数据的发送工作,另外会通过Keep-alive消息来实现检测服务器和客户端具体情况的功能。远程桌面网关服务器会不定时发送服务消息和重认证请求来确保客户端的有效性。

  在连接关闭过程中,远程桌面客户端和远程桌面服务器都可不须要关闭通道,如图2-7所示,客户端发起通道关闭,其中包括关闭通道和关闭隧道两步,

  远程桌面用户数据报协议被设计用来穿越防火墙在远程桌面网关客户端和终端服务器里边进行传输图形图像,音频视频数据的协议。该协议会在远程桌面网关客户端上创建另4个 隧道后在隧道内创建十根连接客户端和终端服务器的通道,而远程桌面网关服务器会以另4个 代理的形式,数据通过这条建立好的通道进行传输。数据在远程桌面网关服务器到和远程桌面网关客户端使用用户数据报文协议进行传输,远程桌面网关客户端会与远程桌面网关服务器进行数据包传输层安全性协议(DTLS)握手后建立十根安全通道,进行相应的连接建立、数据传输以及关闭过程。

  DTLS握手过程会首先在远程桌面网关客户端和远程桌面网关服务器之间建立起十根安全的通道。握手的过程由另4个 操作组成,首先远程桌面网关客户端会通过可靠的法律方法发送第另4个 数据包,你这俩数据包会不断地重复发送给服务器端直到收到服务器的相应,将会在相应的次数内客户端这麼收到服务器端的相应,则会标识本次连接建立的过程失败。或多或少的DTLS握手过程还会通过不可靠的法律方法进行的,所有丢失的数据包还会会进行重传操作,客户端和服务器端负责丢失数据包重传的任务,过程如图2-8所示,

  连接建立的过程由三部分组成,首先远程桌面网关客户端发送相应次数的CONNET_PKT_Structure数据包到远程桌面网关服务器,直到收到从远程桌面网关服务器发送来的CONNET_PKT_RESP数据包。远程桌面网关服务器会使用在Connect_PKT_Structure数据包中的cookie来认证远程桌面网关客户端。当cookie校验成功,客户端会使用在cookie中指定的IP地址来建立十根UDP的连接。刚刚远程桌面网关服务器会存储连接建立的结果,并发送给客户端,流程如图2-9所示,

  本过程实现了数据通过远程桌面网关服务器在远程桌面网关客户端和终端服务器刚刚的传输。UDP会建立十根逻辑的隧道和十根客户端和终端服务器的端到端的连接后进行数据的传输工作

  本过程会终止UDP通道以及所有在客户端和网关服务器之间的连接。客户端和网关服务器都可不须要发送DISC_PKT_Structure数据包来实现该过程。过程如图2-10所示,

  本章具体介绍了要实现远程桌面网关服务所须要的另4个 关键协议:RDGWSP,RDGWHTTP和RDGWUDP,分析了每个协议在连接创建,数据传输,连接关闭等过程中的步骤与实现法律方法。

  传输层安全协议(TLS)通常被用来加密远程桌面网关客户端和远程桌面网关服务器之间所传说的数据,TLS作为另4个 标准的协议可不须要提供在公网将会内网安全的数据。为了使TLS可不须要正确的工作,用户须要在远程网关服务器上安装另4个 SSL兼容的X.10009证书。

  如要从内部CA获取证书,这麼内部的CA的证书须要被另4个 微软认证的公共CA所签名,还会 将会证书是不可信任的,用户从邻居家将会别的非工作中有 将会无法连接网关服务器。而使用自颁发证书,一般用来在测试中对网关服务器的工作进行评估时使用,还会 这麼了生产中使用。从有资质的公共CA购买证书是大部分实现远程桌面网关服务的通用法律方法。

  RD CAP和RD RAP使管理员可不须要控制当远程用户通过远程桌面网关来连接内网中的资源时的权限。RD CAP允许管理员指定哪些地方用户可不须要连接使用远程桌面网关服务器。管理员可不须要指定另4个 活动目录中的安全组将会指定用户须要满足的或多或少条件。当远程用户满足了RD CAP中设定的条件,该用户便可不须要连接使用远程桌面网关服务,还会 还须要创建RD RAP来指定哪些地方用户可不须要访问哪些地方内网中的资源。管理员须要创建了RD CAP和RD RAP后,远程用户才可不须要通过远程桌面服务器访问内网资源。

  网络访问是操作系统中的一系列组件,哪些地方地方组件可不须要私有网络访问。NAP提供了另4个 集成的法律方法来验证系统的健康具体情况,其中中有 运行具体情况策略创建、强制和除理技术等。可不须要将远程桌面网关服务器和客户端配置为使用网络访问,这麼 便可不须要提高安全性。

  将会远程桌面网关对每个客户端会话使用另4个 连接,另4个 入站,另4个 出站。将会要在负载平衡器将每个连接分发到不同的远程桌面网关服务器时,来自另4个 连接的通信均将重定向到同一台远程桌面网关服务器。这时亲们就须要使用服务器场。

  远程桌面网关服务是另4个 Windows Server中的另4个 角色,故部署法律方法相对不僵化 。下面以在一台操作系统为Windows Server 10008 R2英文版的服务器上部署远程桌面网关服务为例介绍部署步骤。在部署刚刚,亲们须要选折 这台服务器将会加入了域。

  (1)服务器重启完毕后,打开服务器管理器,选折 角色,去掉 角色,选中远程桌面服务(Remote Desktop Services),

  (2)点击下一步,选折 远程桌面网关(Remote Desktop Gateway),点击下一步,点击“去掉 所需的服务”,再点击下一步。

  (3)在服务器认证证书步骤中,选折 “稍后选折 另4个 证书”(Choose a certificate….),点击下一步。在创建认证策略步骤中选折 “稍后”(Later),还会 点击下一步。

  (4)在网络策略和访问服务步骤中,选中网络策略服务器(Network Policy Server)后点击下一步。

  3.2.2.1 配置防火墙: 将会远程桌面网关服务器会与的客户端,将会或多或少设备通信,或多或少亲们须要配置操作系统防火墙,以确保正常通信。须要确保将下列服务将会协议去掉 到防火墙的例外中,

  3.2.2.2 部署配置SSL证书:亲们使用公共CA提供的证书作为远程桌面网关证书为例介绍部署SSL证书的步骤。

  (1)首先亲们通过公共CA申请到另4个 SSL的证书后,从公共CA下载证书后,打开做证书请求的IIS服务器,点击完成证书申请还会 导入证书。

  (3)当证书安装完毕后,打开远程桌面网关管理器,选中服务器后右键选折 属性,选折 从本地另一方存储导入证书(Select an existing…),选折 导入(Import Certificate)的证书,点击选折 。

  (1)在远程桌面网关服务器上,打开远程桌面网关管理器,右键选折 一台服务器,选折 属性后,选折 服务器场(Server Farm),点击去掉 (Add)将一台服务器去掉 到该服务器场中,如图3-

  (4)在需求界面中,选折 智能卡(Smartcard),还会 选折 另4个 域中的安全组加入到用户组中(User Group Membership)中,点击下一步。

  (7)点击下一步,选折 另4个 域中的安全组加入到用户组中(User group membership)中,点击下一步,

  (8)在网络资源步骤中,可不须要控制哪些地方资源是可不须要被刚刚去掉 了的组访问的,可不须要选折 域中的组,你这俩组可不须要中有 域中的服务器,也可不须要另一方创建另4个 远程桌面网关控制的组,单独去掉 服务器,还可不须要选折 允许访问任何的服务器。在这里,亲们选折 可不须要访问任何的资源(Allow users to connect to any network resource),点击下一步。

  (9)在允许的端口界面中,亲们可不须要指定端口来访问终端资源,可不须要选折 默认的3389端口(Allow connections only through TCP port 3389),还可不须要指定或多或少端口,比如999111,999222等,另外还允许选折 任意端口,不过你这俩法律方法安全性和可管不高。

  本章介绍了远程桌面网关服务的重要组件和功能,以及介绍了如可在Windows Server 10008 R2操作系统上部署远程桌面网关服务。

  在亲们使用部署好的远程桌面网关服务时, 会再次跳出或多或少比较常见的疑问,在你这俩章中,亲们讨论一下在使用远程桌面网关服务的过程中将会会再次跳出的疑问,以及除理思。

  除理思: 面对大面积用户的报告,亲们可不须要判定应该是远程桌面网关服务再次跳出了疑问。亲们须要立刻检查远程桌面网关服务。

  调查步骤: 将会都可不能不能一台服务器作为远程桌面网关服务器提供服务,这麼首先须要尝试登陆该服务器,将会服务器可不须要登录,这麼可不须要利用图4-1中的命令查看远程桌面网关服务是是不是运行正常。

  将会有或多或少台服务器在负载均衡器里边作为远程桌面网关服务器提供服务,当其中一台服务器再次跳出疑问无法提供服务时,负载均衡器我太少 将请求发送给有疑问的服务器,或多或少,服务器疑问我太少 是用户无法访问的根本因为,除非所有在负载均衡器里边的服务器一起出疑问,或多或少亲们须要先利用端口检查线程池来检查端口是是不是出于的具体情况,一般来讲亲们使用portqry命令来进行检查,具体命令如图4-2所示,

  将会TCP Port 443(https service): 是LISTENING具体情况,说明对外提供的网关服务是正常的。将会是FILTERED具体情况,则须要跟网络组一起调查是是不是疑问与网络连接将会负载均衡器有关。

  除理思: 将会是个别用户报告亲们无法使用,还会 或多或少用户这麼相同的反馈,这麼说明疑问还会再次跳出在远程桌面网关服务,须要调查研究或多或少方面。

  这因为,该用户这麼通过CAP的认证,或多或少无法使用远程桌面网关服务来进行远程访问。再次跳出你这俩疑问有将会将会

  针对以上两点,须要跟用户相互相互合作一起排错,首先检查用户的PIN吗是是不是输入正确,检查用户的智能卡是是不是在有效期,其次检查用户是是不是在被允许使用远程桌面网关服务器的安全组内。

  本文首先介绍了远程桌面网关服务的相关概念;研究了远程桌面网关服务所使用的相关核心协议,每个协议具体的流程步骤;通过较为完整的图示案例,介绍了如可在Windows Server 10008 R2操作系统之上部署远程桌面网关服务;最后介绍了在日常工作中在使用远程桌面网关服务时常遇到的五种生活疑问,还会 讨论了除理思和调查步骤。通过了四章的介绍,相信读者将会对远程桌面网关服务的概念、原理、部署法律方法以及常见疑问和除理方案有了一定的理解。在刚刚使用由世纪互联所运营的Microsoft Azure公有云平台进行远程资源访问还会更加地得心应手。