乐彩登录中心Windows Server远程桌面网关深入浅出

  • 时间:
  • 浏览:0
  • 来源:极速5分快3

  随着信息技术的不断发展,使得在任何地方都意味着 进行IT资源部署,尤其是服务器资源的部署。而亲身在现场进行部署意味着 工作对于IT人员来讲并不现实,会耗费血块的人力物力。远程桌面服务可不都还都可以实现远程访问,操控资源,从而提供了三种方便快捷的方法来进行服务器的远程管理。远程桌面网关服务作为实现远程桌面服务的核心技术,实现了接受远程访问要求,控制远程访问的工作。

  本文将从四偏离 对Windows Server远程桌面网关服务进行讨论,该服务是世纪互联蓝云运营的Microsoft Azure公有云平台实现的客户远程访问公有云资源的核心服务。本文首先对远程桌面服务和远程桌面网关服务进行介绍,其中介绍了包括实现服务所须要的角色和功能,远程桌面网关服务的基本原理,什么都有我对远程桌面网关的核心协议进行讨论,接下来介绍了如何在Windows Server 1508 R2服务器上部署远程桌面网关服务,在本文最后的偏离 ,探讨了三种在日常工作中与远程桌面网关服务相关的意味着 出现的问题报告 ,提供了相应的出理 思和方法。

  远程桌面服务可不都还都可以实现什么都有功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可不都还都可以单会话实现远程运行,远程使用Web应用守护程序运行运行等功能。

  为了实现上述功能,Windows Server远程桌面服务富含了六种关键角色,如表1-1所示,表1-1 远程服务角色及作用

  实现服务器去承载远程应用作为基于会话的桌面,用户可不都还都可以使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源。

  实现好几个 服务器可不都还都可以管理客户端访问授权,该授权可不都还都可以允许每个设备意味着 用户连接基于远程桌面会话的服务器。

  远程桌面服务提供了一系列的出理 方案来实现用户远程访问或是操作,为用户提供了便利。下面亲戚我们都都我们都 继续介绍本文的重点内容远程桌面网关。

  上一小节概要的介绍了远程桌面服务,以及该服务富含高的相应功能。本小节意味着 介绍本章的重点内容--远程桌面网关。

  远程桌面网关(Remote Desktop Gateway)在上小节中提到是作为好几个 角色来实现允许被授权的用户通过公有网络来访问存在私有网络中的资源,资源可不都还都可以是远程服务器、意味着 运行远程应用的服务器,也可不都还都可以是远程桌面的服务器意味着 所他们电脑。远程桌面网关使用在安全超文本传输协议(HTTPS)上的远程桌面协议(RDP)来在公共网络中进行远程访问和在私有网络中的设备意味着 服务器之间建立好几个 安全加密的连接。

  用户通过互联网,也什么都有我通过公共网络直接去尝试连接在防火墙顶端的资源时,须要在防火墙上3389端口意味着 什么都有有远程桌面的端口。意味着 是不方便相应端口,远程访问操作也就不到实现。

  最后好几个 问题报告 是即便在防火墙上了3389端口也是不安全的,意味着 会对私有网络中存在什么都有我了3389或相应远程桌面端口的服务器意味着 资源造成安全,意味着 任何人都可不都还都可以尝试远程桌面端口来进行服务器端的密码破解。

  Windows Server远程桌面网关可不都还都可以很好的出理 上述三点问题报告 ,意味着 远程桌面网关富含了以下价值形式,

  · 提供了友好的方法,可不都还都可以帮助管理人员随时远程桌面网关清况 ,健康度和事件,已达到更好管理的目的。

  当亲戚我们都都我们都 在中部署了远程桌面网关想要,客户端的连接远程桌面会话主机的方法存在了根本的变化,如图1-3所示,

  亲戚我们都都我们都 可不都还都可以想看 ,在公网(Internet)的用户使用笔记本(Home Laptop)想访问公司结构的私有网络中(Corporate/Private Network)的服务器或台式机,首先须要先与远程桌面网关服务通过基于安全套字节层的远程桌面协议(RDP over SSL)建立好几个 安全的通信通道,什么都有我再通过远程桌面网关的远程桌面端口连接到公司结构的资源的远程桌面3389端口,想要 就建立起了一条从用户到远程终端的安全通信链。

  本章介绍了远程桌面与远程桌面网关的基本概念,其中包括了各个远程桌面的角色,以及每个角色可不都还都可以实现的功能。另外通过分析用户远程访问时所面临的问题报告 ,引出了Windows Server远程桌面网关的优势,最后介绍了远程桌面网关部署后的访问方法。

  从第一章的介绍可知,好几个 用户想要从隔壁家访问公司结构生产中的服务器是通过一条安全的通道来进行通信的,故如何建立这条安全通道是实现远程桌面网关服务的重点。而建立通道所须要的协议则是核心,本章主要研究远程桌面网关的核心协议。

  远程桌面网关使用远程桌面网关协议集实现用户远程访问,协议从远程桌面网关客户端到远程桌面网关服务器在中立区域建立一条隧道,远程桌面网关客户端会利用该隧道来在客户端和终端服务器之间建立一条通道,数据则通过这条通道在客户端和终端服务器之间进行传输。隧道和通道同时活跃的通信连接。

  客户端会建立一条主通道到终端服务器,还可不都还都可以建立零到多个辅助通道,远程桌面网关协议使用RPC Over HTTP和HTTP三种协议来进行主通道的建立,该协议还使用UDP传输协议来建立侧通道。

  由2.1小节可知,远程桌面网关使用了RPC over HTTP、HTTP以及UDP协议进行通道建立来实现用户与终端服务器之间的通信。這個小节来介绍每个协议进行通道建立,数据传输,通道关闭等功能的具体步骤。

  远程桌面网关服务器协议使用RPC over HTTP来进行通道建立,数据传输,通道关闭。从远程桌面网关服务器到客户端执行RPC out pipe,从客户端到远程桌面网关执行RPC calls来实现通信。下面来研究每一步的过程。

  通道的建立分为从客户端到远程桌面网关服务器,再从远程桌面网关服务器到终端服务器两偏离 ,這個过程富含了好几个 操作步骤,

  在建立连接过程中,客户端会根据网关服务器的所支持的协议版本、服务器证书利用TsProxyCreateTunnel方法建立一条隧道。接下来利用TsProxyAuthorizeTunnel方法对远程桌面网关客户端执行授权规则,其中包括健康检查,强制用户授权的隧道认证操作,想要意味着 客户端和网关服务器都都还都可以发送和接收管理消息,远程桌面网关客户端可不都还都可以调用TsProxyMakeTunnelCall方法来请求消息。最后利用TsProxyCreateChannel方法在意味着 建立好的隧道中建立好几个 通道来实现接下来的数据传输工作。

  2.2.1.2 数据传输:数据传输过程将允许从客户端到终端服务器进行数据传输工作,在這個工作成,远程桌面网关服务器扮演者好几个 顶端代理者的角色,如图2-2所示,

  远程桌面网关客户端会与远程桌面网关服务器建立好几个 连接,什么都有我远程桌面服务器再跟终端服务器建立一条的连接,想要 ,从客户端到终端服务器的这条逻辑链称为一条通道,而这条通道不到建立在隧道之内,但好几个 隧道可不都还都可以容纳多条通道同时通信。

  数据从终端服务器到客户端通过远程桌面网关服务器使用out pipe进行传输。远程桌面网关服务器协议使用RPC out pipes将数据从远程桌面网关服务器到客户端进行数据流化传输。数据流的工作是由TsProxySetupReceivePipe方法来实现的,好几个 通道一次只可不都还都可以调用一次该方法。而数据从客户端通过远程桌面网关服务器传输至终端服务器时,会调用TsProxySendToServer方法来实现数据的传输,具体过程如图2-3所示,

  2.1.1.3 刚开使过程:刚开使过程是去终止通道和隧道的过程,其富含高了关闭通道,归还守候消息以及关闭隧道好几个 子过程,如图2-4所示,

  远程桌面网关客户端都可不都还都可以发起刚开使过程,客户端使用TsProxyCloseChannel方法来启动這個过程,该过程会关闭在传输数据过程中所使用的RPC out pipe,而远程桌面网关服务器则发送好几个 RPC response protocol data unit(PDU)来刚开使通过TsProxySetupReceivePipe方法来建立的数据传输。意味着 远程桌面网关客户端还有对于远程桌面网关服务器的守候的管理消息的请求,客户端将调用TsProxyMakeTunnel方法来归还该请求。在结果过程的最后,当所有的通道关闭后,会调用TsProxyCloseTunnel方法来关闭隧道,整个过程刚开使。

  远程桌面网关超文本协议(RDGWHTTP)使用超文本协议(HTTP)来创建两条通信通道,分别负责接收来自远程桌面网关服务器和发送数据到远程桌面网关服务器,一条小通道被加密协议SSL所,这也是部署远程桌面网关服务器最常用的三种协议。RDGWHTTP使用HTTP协议来实现好几个 过程,分别为建立连接与认证、创建隧道和通道、数据传输以及关闭连接。

  OUT和IN通道是一条HTTP1.1连接,意味着 远程桌面网关服务器和远程桌面网关客户端支持WebSocket协议,那OUT通道和IN通道便可实现双向通信功能,意味着 不支持,则OUT通道负责远程桌面网关的数据发送,而IN通道则负责数据输入工作。通道建立完成后进行认证过程,如图2-5所示。

  远程桌面网关客户端与远程桌面网关服务器通过交换由HTTP请求和响应主体的消息来实现创建隧道和通道的过程,這個过程富含交换版本和能力协调信息,创建隧道,认证隧道,创建通道四偏离 操作,如图2-6所示。

  在数据和服务器消息交换过程中,远程桌面网关服务器和远程桌面网关客户端使用IN通道和OUT通道来进行数据的发送工作,另外会通过Keep-alive消息来实现检测服务器和客户端清况 的功能。远程桌面网关服务器会不定时发送服务消息和重认证请求来确保客户端的有效性。

  在连接关闭过程中,远程桌面客户端和远程桌面服务器都可不都还都可以关闭通道,如图2-7所示,客户端发起通道关闭,其中包括关闭通道和关闭隧道两步,

  远程桌面用户数据报协议被设计用来穿越防火墙在远程桌面网关客户端和终端服务器顶端进行传输图形图像,音频视频数据的协议。该协议会在远程桌面网关客户端上创建好几个 隧道后在隧道内创建一条连接客户端和终端服务器的通道,而远程桌面网关服务器会以好几个 代理的形式,数据通过这条建立好的通道进行传输。数据在远程桌面网关服务器到和远程桌面网关客户端使用用户数据报文协议进行传输,远程桌面网关客户端会与远程桌面网关服务器进行数据包传输层安全性协议(DTLS)握手后建立一条安全通道,进行相应的连接建立、数据传输以及关闭过程。

  DTLS握手过程会首先在远程桌面网关客户端和远程桌面网关服务器之间建立起一条安全的通道。握手的过程由好几个 操作组成,首先远程桌面网关客户端会通过可靠的方法发送第好几个 数据包,這個数据包会不断地重复发送给服务器端直到收到服务器的相应,意味着 在相应的次数内客户端如此 收到服务器端的相应,则会标识本次连接建立的过程失败。什么都有有的DTLS握手过程就有通过不可靠的方法进行的,所有丢失的数据包就有会进行重传操作,客户端和服务器端负责丢失数据包重传的任务,过程如图2-8所示,

  连接建立的过程由三偏离 组成,首先远程桌面网关客户端发送相应次数的CONNET_PKT_Structure数据包到远程桌面网关服务器,直到收到从远程桌面网关服务器发送来的CONNET_PKT_RESP数据包。远程桌面网关服务器会使用在Connect_PKT_Structure数据包中的cookie来认证远程桌面网关客户端。当cookie校验成功,客户端会使用在cookie中指定的IP地址来建立一条UDP的连接。想要远程桌面网关服务器会存储连接建立的结果,并发送给客户端,流程如图2-9所示,

  本过程实现了数据通过远程桌面网关服务器在远程桌面网关客户端和终端服务器想要的传输。UDP会建立一条逻辑的隧道和一条客户端和终端服务器的端到端的连接后进行数据的传输工作

  本过程会终止UDP通道以及所有在客户端和网关服务器之间的连接。客户端和网关服务器都可不都还都可以发送DISC_PKT_Structure数据包来实现该过程。过程如图2-10所示,

  本章具体介绍了要实现远程桌面网关服务所须要的好几个 关键协议:RDGWSP,RDGWHTTP和RDGWUDP,分析了每个协议在连接创建,数据传输,连接关闭等过程中的步骤与实现方法。

  传输层安全协议(TLS)通常被用来加密远程桌面网关客户端和远程桌面网关服务器之间所传说的数据,TLS作为好几个 标准的协议可不都还都可以提供在公网意味着 内网安全的数据。为了使TLS可不都还都可以正确的工作,用户须要在远程网关服务器上安装好几个 SSL兼容的X.1509证书。

  如要从结构CA获取证书,如此 结构的CA的证书须要被好几个 微软认证的公共CA所签名,什么都有我意味着 证书是不可信任的,用户从隔壁家意味着 别的非工作富含意味着 无法连接网关服务器。而使用自颁发证书,一般用来在测试中对网关服务器的工作进行评估时使用,什么都有我没得生产中使用。从有资质的公共CA购买证书是大偏离 实现远程桌面网关服务的通用方法。

  RD CAP和RD RAP使管理员可不都还都可以控制当远程用户通过远程桌面网关来连接内网中的资源时的权限。RD CAP允许管理员指定哪几个用户可不都还都可以连接使用远程桌面网关服务器。管理员可不都还都可以指定好几个 活动目录中的安全组意味着 指定用户须要满足的什么都有有条件。当远程用户满足了RD CAP中设定的条件,该用户便可不都还都可以连接使用远程桌面网关服务,什么都有我还须要创建RD RAP来指定哪几个用户可不都还都可以访问哪几个内网中的资源。管理员须要创建了RD CAP和RD RAP后,远程用户才可不都还都可以通过远程桌面服务器访问内网资源。

  网络访问是操作系统中的一系列组件,哪几个组件可不都还都可以私有网络访问。NAP提供了好几个 集成的方法来验证系统的健康清况 ,其富含高运行清况 策略创建、强制和出理 技术等。可不都还都可以将远程桌面网关服务器和客户端配置为使用网络访问,想要 便可不都还都可以提高安全性。

  意味着 远程桌面网关对每个客户端会话使用好几个 连接,好几个 入站,好几个 出站。意味着 要在负载平衡器将每个连接分发到不同的远程桌面网关服务器时,来自好几个 连接的通信均将重定向到同一台远程桌面网关服务器。这时亲戚我们都都我们都 就须要使用服务器场。

  远程桌面网关服务是好几个 Windows Server中的好几个 角色,故部署方法相对不繁杂。下面以在一台操作系统为Windows Server 1508 R2英文版的服务器上部署远程桌面网关服务为例介绍部署步骤。在部署想要,亲戚我们都都我们都 须要选折 这台服务器意味着 加入了域。

  (1)服务器重启完毕后,打开服务器管理器,选折 角色,添加角色,选中远程桌面服务(Remote Desktop Services),

  (2)点击下一步,选折 远程桌面网关(Remote Desktop Gateway),点击下一步,点击“添加所需的服务”,再点击下一步。

  (3)在服务器认证证书步骤中,选折 “稍后选折 好几个 证书”(Choose a certificate….),点击下一步。在创建认证策略步骤中选折 “稍后”(Later),什么都有我点击下一步。

  (4)在网络策略和访问服务步骤中,选中网络策略服务器(Network Policy Server)后点击下一步。

  3.2.2.1 配置防火墙: 意味着 远程桌面网关服务器会与的客户端,意味着 什么都有有设备通信,什么都有亲戚我们都都我们都 须要配置操作系统防火墙,以确保正常通信。须要确保将下列服务意味着 协议添加到防火墙的例外中,

  3.2.2.2 部署配置SSL证书:亲戚我们都都我们都 使用公共CA提供的证书作为远程桌面网关证书为例介绍部署SSL证书的步骤。

  (1)首先亲戚我们都都我们都 通过公共CA申请到好几个 SSL的证书后,从公共CA下载证书后,打开做证书请求的IIS服务器,点击完成证书申请什么都有我导入证书。

  (3)当证书安装完毕后,打开远程桌面网关管理器,选中服务器后右键选折 属性,选折 从本地所他们存储导入证书(Select an existing…),选折 导入(Import Certificate)的证书,点击选折 。

  (1)在远程桌面网关服务器上,打开远程桌面网关管理器,右键选折 一台服务器,选折 属性后,选折 服务器场(Server Farm),点击添加(Add)将一台服务器添加到该服务器场中,如图3-

  (4)在需求界面中,选折 智能卡(Smartcard),什么都有我选折 好几个 域中的安全组加入到用户组中(User Group Membership)中,点击下一步。

  (7)点击下一步,选折 好几个 域中的安全组加入到用户组中(User group membership)中,点击下一步,

  (8)在网络资源步骤中,可不都还都可以控制哪几个资源是可不都还都可以被想要添加了的组访问的,可不都还都可以选折 域中的组,這個组可不都还都可以富含域中的服务器,也可不都还都可以所他们创建好几个 远程桌面网关控制的组,单独添加服务器,还可不都还都可以选折 允许访问任何的服务器。在这里,亲戚我们都都我们都 选折 可不都还都可以访问任何的资源(Allow users to connect to any network resource),点击下一步。

  (9)在允许的端口界面中,亲戚我们都都我们都 可不都还都可以指定端口来访问终端资源,可不都还都可以选折 默认的3389端口(Allow connections only through TCP port 3389),还可不都还都可以指定什么都有有端口,比如999111,999222等,另外还允许选折 任意端口,不过這個方法安全性和可管不高。

  本章介绍了远程桌面网关服务的重要组件和功能,以及介绍了如何在Windows Server 1508 R2操作系统上部署远程桌面网关服务。

  在亲戚我们都都我们都 使用部署好的远程桌面网关服务时, 会出现什么都有有比较常见的问题报告 ,在這個章中,亲戚我们都都我们都 讨论一下在使用远程桌面网关服务的过程中意味着 会出现的问题报告 ,以及出理 思。

  出理 思: 面对大面积用户的报告,亲戚我们都都我们都 可不都还都可以判定应该是远程桌面网关服务出现了问题报告 。亲戚我们都都我们都 须要立刻检查远程桌面网关服务。

  调查步骤: 意味着 不到一台服务器作为远程桌面网关服务器提供服务,如此 首先须要尝试登陆该服务器,意味着 服务器可不都还都可以登录,如此 可不都还都可以利用图4-1中的命令查看远程桌面网关服务算不算运行正常。

  意味着 有什么都有台服务器在负载均衡器顶端作为远程桌面网关服务器提供服务,当其中一台服务器出现问题报告 无法提供服务时,负载均衡器太大再将请求发送给有问题报告 的服务器,什么都有,服务器问题报告 太大再是用户无法访问的根本意味着 ,除非所有在负载均衡器顶端的服务器同时出问题报告 ,什么都有亲戚我们都都我们都 须要先利用端口检查守护程序运行运行来检查端口算不算出于的清况 ,一般来讲亲戚我们都都我们都 使用portqry命令来进行检查,具体命令如图4-2所示,

  意味着 TCP Port 443(https service): 是LISTENING清况 ,说明对外提供的网关服务是正常的。意味着 是FILTERED清况 ,则须要跟网络组同时调查算不算问题报告 与网络连接意味着 负载均衡器有关。

  出理 思: 意味着 是个别用户报告亲戚我们都都我们都 无法使用,什么都有我什么都有有用户如此 相同的反馈,如此 说明问题报告 就有出现在远程桌面网关服务,须要调查研究什么都有有方面。

  这意味着 ,该用户如此 通过CAP的认证,什么都算不算法使用远程桌面网关服务来进行远程访问。出现這個问题报告 有意味着 意味着

  针对以上两点,须要跟用户相互协作同时排错,首先检查用户的PIN吗算不算输入正确,检查用户的智能卡算不算在有效期,其次检查用户算不算在被允许使用远程桌面网关服务器的安全组内。

  本文首先介绍了远程桌面网关服务的相关概念;研究了远程桌面网关服务所使用的相关核心协议,每个协议具体的流程步骤;通过较为全版的图示案例,介绍了如何在Windows Server 1508 R2操作系统之上部署远程桌面网关服务;最后介绍了在日常工作中在使用远程桌面网关服务时常遇到的三种问题报告 ,什么都有我讨论了出理 思和调查步骤。通过了四章的介绍,相信读者意味着 对远程桌面网关服务的概念、原理、部署方法以及常见问题报告 和出理 方案有了一定的理解。在想要使用由世纪互联所运营的Microsoft Azure公有云平台进行远程资源访问时会更加地得心应手。