虛擬化:使用 RD 閘道

  • 發行項

遠端桌面閘道可以幫助您在公用網路上提供虛擬機器的安全存取。

克裡斯汀 · 格裡芬

您可以使用遠端桌面 (RD) Web 訪問角色服務發佈使用者會話和虛擬機器 (Vm)。 但是,這只能通過您的局域網。 若要啟用會話和虛擬機器通過公共網路的安全訪問,您不得不使用路閘道。

您應該使用路閘道公共和私人網路、 你應該在典型部署中,將它設置的方式和方法,您應該配置所需的訪問策略的具體理由 — — 大多數不必做維護一個安全的通道。 也有許多有用的修補程式適用于使用此角色服務。

與路閘道安全訪問

您始終可以訪問 RemoteApps、 遠端桌上型電腦和虛擬機器內部網路上。 如果您或您的使用者想要坐在沙灘上,從您最喜歡的咖啡店或可擕式電腦訪問這些資源嗎? 您可以在您的防火牆以啟用訪問來自公共網路,開放埠 3389 (RDP 埠),但這會讓你容易受到攻擊。

這是路閘道發揮是哪裡來的。 路閘道角色服務通過建立 SSL 隧道從用戶端到路閘道提供安全的訪問。 路閘道作為中間商。 它通過通信,從用戶端通過埠 443,並從內部資源通過埠 3389。 任何路閘道與外部用戶端之間的通信也被加密。

使用路閘道和典型的虛擬私人網路絡 (VPN) 解決方案的一個區別是向任何人可以連接 Vpn 提供全面的網路訪問。 路閘道使用授權策略來確定哪些使用者可以使用他們的允許訪問特定的資源和服務。

取決於是否他們正在連接從內部或外部網路的人,您可以配置不同的許可權集。 路閘道使用兩級白名單中的模型。 使用者必須顯式允許使用路閘道。 他們還必須具有訪問他們想要通過閘道使用的資源的顯式許可權 (請參見圖 1)。

RD Gateway sets permissions for specific users and the resources to which they have access

圖 1 RD 閘道設置為特定的使用者許可權和資源,他們有權訪問。

遠端用戶端將嘗試通過路閘道訪問 RDS 資源。 閘道將允許和建立連接,如果用戶端已授權訪問路閘道,並且具有訪問所請求的資源的許可權。 然後,它將創建的路閘道伺服器和用戶端之間建立秘密頻道。 如果用戶端未被授權連接到路閘道,用戶端將被拒絕訪問 (請參閱圖 2)。

This is what you’ll see if you attempt an unauthorized access

圖 2 這是你將看到如果您試圖在未經授權的訪問。

如果用戶端是授權訪問閘道路,但未獲授權訪問所請求的資源,用戶端將仍然被拒絕訪問 (請參閱圖 3)。

If you have access to the RD Gateway, but not the resource, you’ll still be denied

圖 3 如果你有路閘道,而不是資源的訪問,您仍然被拒絕。

訪問篩選

路閘道控制訪問本身及內部的 RDS 資源,分別與兩種不同類型的訪問策略: 研發資源訪問策略 (RD 區域) 和路連接訪問策略 (RD 上限)。 RD 區域控制的資源 (RD 工作階段主機伺服器和桌上型電腦與遠端桌面啟用,包括共用或個人的桌面虛擬機器) 可以訪問的任何使用者。 RD 上限控制哪些使用者 (和 (可選) 電腦) 有權連接到路閘道。

RD 帽也控制:

  • 支援的身份驗證方法 (使用者可以通過智慧卡或密碼驗證)
  • 哪些設備,您可以在連接過程中重定向 (如果您禁用在路閘道設備重定向,它將被禁用,即使它路用戶端和伺服器所允許的)
  • 可選的活動和空閒的會話超時

路閘道為您提供了一個簡單的介面,您可以創建這些政策。 其存儲位置取決於訪問策略的類型。 可以創建和存儲路區域路閘道。 RD 帽真是 NPS 網路策略。 一旦您創建 RD 帽,他們會在路閘道連接授權策略資料夾下中可見。 您還可以打開網路政策服務 (NPS) 和請參閱相應的網路策略 (請參見圖 4)。

You can open NPS to view the corresponding Network Policy

圖 4 你可以打開 NPS 以查看相應的網路策略。

這些真的是相同的策略。 路閘道只是為您提供一個不同的視圖和更簡單的方法來管理的策略,因為它們與路閘道。

您可以創建使用多路帽和 RD 區域,精確的訪問策略,但是有一個簡單的規則: 使用者必須滿足要求至少一個路帽和一個 RD RAP 為了成功地連接到路閘道 (和隨後 RDS 的內部資源)。 使用者必須首先連接到路閘道 (RD CAP)。 他們已獲准建立路閘道連接,一旦該使用者則需要 RDS 資源 (RD RAP) 的存取權限。 一個策略是另一方而真的不好。

路閘道部署

"Microsoft Windows Server 2008 R2 遠端桌面服務資源工具包"(微軟出版社,2010年) 解釋了如何設置路閘道。 在高級別上,您必須執行以下步驟:

  • 向伺服器添加所需的 SSL 證書
  • 安裝路閘道角色服務
  • 在路區域中創建供參考的路閘道管理組
  • 創建或調整 RD 帽和 RD 區域行動方案
  • 路閘道伺服器位址添加到 RD Web 訪問、 否認是經理和路連接經紀人 — — 或先前創建的 RDP 檔。

路閘道安裝嚮導將創建並安裝 SSL 時您要測試路閘道使用自簽名的證書。 隨後,您還可以創建此自簽名的證書。 雖然自簽名的證書不受信任的協力廠商,已驗證。 你想要添加到每個客戶機的受信任的根憑證授權存儲用戶端信任並與之相連的路閘道伺服器的自簽名的證書。 這是不切實際的如果在用戶端電腦不受管理的電腦。

對於生活環境,你要使用內部 PKI 解決方案或公共 CA 頒發的證書。 如果您已經安裝了 SSL 證書,請選擇它安裝在路閘道之前由嚮導提示時。 通過將其添加到伺服器的個人電腦通過證書 MMC 管理單元中的憑證存放區中安裝 SSL 證書。

下一步,打開伺服器管理器,並安裝路閘道角色服務。 您還可以安裝使用 Windows PowerShell,此角色,但一些你會如果安裝使用伺服器管理器選項將不可用。 路閘道角色服務需要的 IIS 和核動力源角色服務執行關鍵的功能,所以如果他們不已經安裝,它會自動安裝它們。

路閘道,通過 HTTPS,使 RPC 調用使用 IIS,並控制允許連接創建 NPS 網路策略 (稱為路連接授權策略在路閘道)。 該嚮導將提示您要使用安全連接 SSL 證書。 它還將引導您完成創建一個 RD 帽和一個 RD RAP 的政策。

下一步您需要設置任何可能需要引用 RD 戀愛中的路閘道管理的組。 路閘道管理組是一組由路閘道,而不是 Active Directory 的電腦。 大多數情況下,指定路區域中的 Active Directory 電腦組會很有意義。 如果您有路工作階段主機場,不過,你得創建路閘道管理組來控制對通過閘道路農場訪問。 活動目錄沒有按其農場名稱識別多個 RD 工作階段主機伺服器的方式。

要創建的路閘道管理組,選擇資源授權策略資料夾下的路閘道伺服器在路閘道管理器中。 按一下右側的路閘道管理器視窗的操作窗格中的管理本地電腦組連結。 一旦您創建包含 RD 工作階段主機農場成員的路閘道管理的組,您可以添加該組 RD 說唱。

安裝完成後,您可以調整你的 RD 帽和 RD 區域。 您還可以創建更多的授權策略在路閘道管理器中。 例如,您可能要為銷售團隊,另一個用於 IT 團隊使用的授權策略的一套。

若要創建更多的 RD 帽和 RD 區域,用滑鼠按右鍵策略資料夾下的路閘道管理器中列出的路閘道伺服器,然後選擇創建新的授權策略。 這將啟動創建授權策略的路閘道] 嚮導。 按兩下現有 RD 帽或說唱以編輯其屬性。

現行的政策位於連接授權策略和資源授權策略資料夾下的路閘道伺服器在路閘道管理器中列出。 一旦您已經實現了路閘道,用戶端需要訪問 RDS 資源時引用的路閘道位址:

  • 如果您發佈 RemoteApps RD Web Access 中,或在 Windows 7 中使用 RemoteApps 和桌面連接,添加的路閘道伺服器位址向經理否認是每個 RD 工作階段主機伺服器上。
  • 如果您實現了共用的虛擬桌面基礎設施和個人的 Vm,您需要路閘道伺服器位址添加到代理連接路的路連線管理員的虛擬桌面資源和配置節。
  • 如果你給出先前創建的 RDP 檔,將路閘道位址添加到的 RDP 檔中,通過編輯該檔。 打開的 RDP 檔,按一下選項按鈕,選擇高級選項卡、 按一下連接從任何一節中的設置按鈕並添加路閘道伺服器位址。 然後保存 RDP 檔。

驗證和路閘道故障排除

一旦您已經設置了該服務,您應該測試,然後再將其廣泛提供。 若要測試路閘道的連接,打開流覽器,並流覽到您的路閘道伺服器上的 RPC 資料夾。您應該被提示輸入憑據。 然後你需要一張空白頁。 這是路閘道執行工作的預期的行為。

分析的路閘道伺服器上的事件日誌,可以説明您瞭解為什麼可能會拒絕使用者訪問路閘道或請求的 RDS 資源,以及如何糾正這種情況。 路閘道日誌存儲在事件檢視器中: 事件 Viewer\Applications 和閘道服務 Logs\Microsoft\Windows\TerminalServices-.

指定路閘道將選中或取消選中核取方塊旁邊的路閘道管理器屬性頁的審核選項卡上列出的審核事件日誌的事件的類型。 下麵是一些示例類型的事件 Id,您可能會看到的而如果您無意中有使用者,你應該做什麼拒絕通過路閘道的訪問:

  • 302、 303 事件顯示當使用者連接和斷開與路閘道通過 RDS 資源。
  • 200 及 300 的事件表明使用者已分別會見了 RD 帽和 RD RAP,要求。
  • 201 事件表明 RD 帽需求不滿足使用者無法連接到路閘道。 更改允許使用者相應的存取權限包括 Active Directory 使用者組,這些使用者是成員的 RD 帽。
  • 事件 ID 304 指示 RD 帽和 RD RAP 的要求被滿足,但使用者不能連接到所請求的資源。 在這種情況下,請檢查所請求的資源運行,以及使用者被添加到資源遠端桌面使用者組。

在事件檢視器的安全性記錄檔時使用者被授予或拒絕訪問路閘道通過 NPS 也將記錄事件。 這裡列出一些範例:

  • 事件 Id 6272 和 6278 表明 NPS 伺服器授予使用者存取權限,並給了連接身份驗證細節在日誌中,包括了使用者訪問的網路策略的名稱。
  • 事件 ID 6273 顯示使用者遇到的名為的網路策略要求"— — 意思標記策略。"這是預設的策略,拒絕訪問到路閘道。 如果沒有其他的網路策略滿足 (即使用者不符合任何路章要求) 然後這項政策的要求,且使用者被拒絕訪問。

這些都是本質的路閘道,包括為什麼您會使用此角色服務提供遠端存取、 如何設置角色服務,以及如何配置定義遠端存取規則的訪問策略。 下個月,我們將討論如何將證書結合憑據安全支援提供程式,以便一項稱為網路級身份驗證 (NLA),提高了使用者的登錄體驗功能。

Kristin Griffin

**克裡斯汀 · 格裡芬**遠端桌面服務 MVP。 她溫和派微軟論壇致力於説明基於伺服器的計算社區 (遠端桌面服務) 和維護 RDS 博客就是在 blog.kristinlgriffin.com。 她是貢獻者馬克米納西的"掌控 Windows Server 2008"(Sybex,2008年) 和"掌握 Windows Server 2008 R2"(Sybex,2010年)。 她還與塔 · 安德森合著的"Microsoft Windows Server 2008 終端服務資源工具包"(微軟出版社,2008年) 和"Microsoft Windows Server 2008 R2 遠端桌面服務資源工具包"(微軟出版社,2010年)。

相關內容

路閘道關於下列修補程式也是有説明的:

路閘道問答

**問:**路閘道可以容納多少連接?
**答:**路閘道,可容納多個連接。 事實上,4 gb RAM 的雙處理器伺服器可以交流­通融超過 1,200 的連接。 閱讀 Microsoft 白皮書中,"Windows 2008 R2,在路閘道容量規劃"由微軟的路閘道能力測試與結果分析的詳細資訊。 從發牌的角度來看,路閘道是限於 256 個同時連接,在 Windows Server 2008 R2 標準版中,以及在 Windows 伺服器 2008 R2 基礎版 50 個同時連接。 Windows 伺服器 2008 R2 資料中心和企業版中的路閘道連接受限制。

**問:**路閘道可以使用 ISA 伺服器後嗎? 前沿威脅管理閘道 (TMG) 呢?
**答:**是的你可以這樣做。 使用此腳本 ISA 伺服器上發佈路閘道。 此外,您還可以實現前沿 TMG 後面的路閘道。 配置最前沿的威脅管理閘道與集成路閘道分步指南演示如何使用 SSL 橋接設備前面的路閘道作為 TMG。

**問:**我要當路閘道配置時,使用什麼樣的 SSL 證書?
**答:**您可以使用常規的 SSL 證書,萬用字元證書 (*。) 或 SAN 證書 (證書具有多個名稱,如 rdg.domain.com、 rdwa.domain.com、 rds.domain.com) 與路閘道。

**問:**你如何可以強制使用路閘道路 Web 訪問的遠端桌面頁的連接?
**答:**要強制使用路閘道的 RD Web 訪問 Web 網站的遠端桌面選項卡上有沒有核取方塊,但您可以通過編輯 Desktop.aspx 檔從這發生使它:

if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:2\n";

變更為:

if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:1\n";

顯式強制使用路閘道將也加快連接因為有無延遲,而可以直接通過埠 3389,連接的連接嘗試超時,然後再次嘗試通過 SSL 埠 443。