好运一分彩Windows Server远程桌面网关深入浅出

  • 时间:
  • 浏览:1
  • 来源:大发快3官网app-大发快三下载安装

  随着信息技术的不断发展,使得在任何地方都有可能 进行IT资源部署,尤其是服务器资源的部署。而亲身在现场进行部署不可能 工作对于IT人员来讲从不现实,会耗费几瓶的人力物力。远程桌面服务可不也能实现远程访问,操控资源,从而提供了三种方便快捷的最好的土办法来进行服务器的远程管理。远程桌面网关服务作为实现远程桌面服务的核心技术,实现了接受远程访问要求,控制远程访问的工作。

  本文将从四累积对Windows Server远程桌面网关服务进行讨论,该服务是世纪互联蓝云运营的Microsoft Azure公有云平台实现的客户远程访问公有云资源的核心服务。本文首先对远程桌面服务和远程桌面网关服务进行介绍,其中介绍了包括实现服务所可不也能的角色和功能,远程桌面网关服务的基本原理,却说对远程桌面网关的核心协议进行讨论,接下来介绍了要怎样在Windows Server 10008 R2服务器上部署远程桌面网关服务,在本文最后的累积,探讨了三种在日常工作中与远程桌面网关服务相关的不可能 出先的间题报告 ,提供了相应的正确处理思和最好的土办法。

  远程桌面服务可不也能实现好多好多 功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可不也能单会话实现远程运行,远程使用Web程序池池等功能。

  为了实现上述功能,Windows Server远程桌面服务包含了六种关键角色,如表1-1所示,表1-1 远程服务角色及作用

  实现服务器去承载远程应用作为基于会话的桌面,用户可不也能使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源。

  实现却说服务器可不也能管理客户端访问授权,该授权可不也能允许每个设备不可能 用户连接基于远程桌面会话的服务器。

  远程桌面服务提供了一系列的正确处理方案来实现用户远程访问或是操作,为用户提供了便利。下面亲戚亲戚朋友继续介绍本文的重点内容远程桌面网关。

  上一小节概要的介绍了远程桌面服务,以及该服务所包含的相应功能。本小节不可能 介绍本章的重点内容--远程桌面网关。

  远程桌面网关(Remote Desktop Gateway)在上小节中提到是作为却说角色来实现允许被授权的用户通过公有网络来访问指在私有网络中的资源,资源可不也能是远程服务器、不可能 运行远程应用的服务器,也可不也能是远程桌面的服务器不可能 另一方电脑。远程桌面网关使用在安全超文本传输协议(HTTPS)上的远程桌面协议(RDP)来在公共网络中进行远程访问和在私有网络中的设备不可能 服务器之间建立却说安全加密的连接。

  用户通过互联网,都却说通过公共网络直接去尝试连接在防火墙顶端的资源时,可不也能在防火墙上3389端口不可能 某些远程桌面的端口。不可能 是不方便相应端口,远程访问操作也就非要实现。

  最后却说间题报告 是即便在防火墙上了3389端口也是不安全的,不可能 会对私有网络中指在却说了3389或相应远程桌面端口的服务器不可能 资源造成安全,不可能 任何人都可不也能尝试远程桌面端口来进行服务器端的密码破解。

  Windows Server远程桌面网关可不也能很好的正确处理上述三点间题报告 ,不可能 远程桌面网关包含了以下底部形态,

  · 提供了友好的最好的土办法,可不也能帮助管理人员随时远程桌面网关状况,健康度和事件,已达到更好管理的目的。

  当亲戚亲戚朋友在中部署了远程桌面网关另却说,客户端的连接远程桌面会话主机的最好的土办法指在了根本的变化,如图1-3所示,

  亲戚亲戚朋友可不也能看多,在公网(Internet)的用户使用笔记本(Home Laptop)想访问公司外部的私有网络中(Corporate/Private Network)的服务器或台式机,首先可不也能先与远程桌面网关服务通过基于安全套字节层的远程桌面协议(RDP over SSL)建立却说安全的通信通道,却说再通过远程桌面网关的远程桌面端口连接到公司外部的资源的远程桌面3389端口,另却说就建立起了四根从用户到远程终端的安全通信链。

  本章介绍了远程桌面与远程桌面网关的基本概念,其中包括了各个远程桌面的角色,以及每个角色可不也能实现的功能。另外通过分析用户远程访问时所面临的间题报告 ,引出了Windows Server远程桌面网关的优势,最后介绍了远程桌面网关部署后的访问最好的土办法。

  从第一章的介绍可知,却说用户随后从我家有访问公司外部生产中的服务器是通过四根安全的通道来进行通信的,故要怎样建立这条安全通道是实现远程桌面网关服务的重点。而建立通道所可不也能的协议则是核心,本章主要研究远程桌面网关的核心协议。

  远程桌面网关使用远程桌面网关协议集实现用户远程访问,协议从远程桌面网关客户端到远程桌面网关服务器在中立区域建立四根隧道,远程桌面网关客户端会利用该隧道来在客户端和终端服务器之间建立四根通道,数据则通过这条通道在客户端和终端服务器之间进行传输。隧道和通道同時 活跃的通信连接。

  客户端会建立四根主通道到终端服务器,还可不也能建立零到多个辅助通道,远程桌面网关协议使用RPC Over HTTP和HTTP三种协议来进行主通道的建立,该协议还使用UDP传输协议来建立侧通道。

  由2.1小节可知,远程桌面网关使用了RPC over HTTP、HTTP以及UDP协议进行通道建立来实现用户与终端服务器之间的通信。三种小节来介绍每个协议进行通道建立,数据传输,通道关闭等功能的具体步骤。

  远程桌面网关服务器协议使用RPC over HTTP来进行通道建立,数据传输,通道关闭。从远程桌面网关服务器到客户端执行RPC out pipe,从客户端到远程桌面网关执行RPC calls来实现通信。下面来研究每一步的过程。

  通道的建立分为从客户端到远程桌面网关服务器,再从远程桌面网关服务器到终端服务器两累积,三种过程包含了两个操作步骤,

  在建立连接过程中,客户端会根据网关服务器的所支持的协议版本、服务器证书利用TsProxyCreateTunnel最好的土办法建立四根隧道。接下来利用TsProxyAuthorizeTunnel最好的土办法对远程桌面网关客户端执行授权规则,其中包括健康检查,强制用户授权的隧道认证操作,另却说不可能 客户端和网关服务器也能发送和接收管理消息,远程桌面网关客户端可不也能调用TsProxyMakeTunnelCall最好的土办法来请求消息。最后利用TsProxyCreateChannel最好的土办法在不可能 建立好的隧道中建立却说通道来实现接下来的数据传输工作。

  2.2.1.2 数据传输:数据传输过程将允许从客户端到终端服务器进行数据传输工作,在三种工作成,远程桌面网关服务器扮演者却说顶端代理者的角色,如图2-2所示,

  远程桌面网关客户端会与远程桌面网关服务器建立却说连接,却说远程桌面服务器再跟终端服务器建立四根的连接,另却说,从客户端到终端服务器的这条逻辑链称为四根通道,而这条通道非要建立在隧道之内,但却说隧道可不也能容纳多条通道同時 通信。

  数据从终端服务器到客户端通过远程桌面网关服务器使用out pipe进行传输。远程桌面网关服务器协议使用RPC out pipes将数据从远程桌面网关服务器到客户端进行数据流化传输。数据流的工作是由TsProxySetupReceivePipe最好的土办法来实现的,却说通道一次非也能调用一次该最好的土办法。而数据从客户端通过远程桌面网关服务器传输至终端服务器时,会调用TsProxySendToServer最好的土办法来实现数据的传输,具体过程如图2-3所示,

  2.1.1.3 随后随后刚开始过程:随后随后刚开始过程是去终止通道和隧道的过程,其中包含了关闭通道,撤除等待时间消息以及关闭隧道却说子过程,如图2-4所示,

  远程桌面网关客户端都可不也能发起随后随后刚开始过程,客户端使用TsProxyCloseChannel最好的土办法来启动三种过程,该过程会关闭在传输数据过程中所使用的RPC out pipe,而远程桌面网关服务器则发送却说RPC response protocol data unit(PDU)来随后随后刚开始通过TsProxySetupReceivePipe最好的土办法来建立的数据传输。不可能 远程桌面网关客户端还有对于远程桌面网关服务器的等待时间的管理消息的请求,客户端将调用TsProxyMakeTunnel最好的土办法来撤除该请求。在结果过程的最后,当所有的通道关闭后,会调用TsProxyCloseTunnel最好的土办法来关闭隧道,整个过程随后随后刚开始。

  远程桌面网关超文本协议(RDGWHTTP)使用超文本协议(HTTP)来创建两条通信通道,分别负责接收来自远程桌面网关服务器和发送数据到远程桌面网关服务器,每四根通道被加密协议SSL所,这也是部署远程桌面网关服务器最常用的三种协议。RDGWHTTP使用HTTP协议来实现两个过程,分别为建立连接与认证、创建隧道和通道、数据传输以及关闭连接。

  OUT和IN通道是四根HTTP1.1连接,不可能 远程桌面网关服务器和远程桌面网关客户端支持WebSocket协议,那OUT通道和IN通道便可实现双向通信功能,不可能 不支持,则OUT通道负责远程桌面网关的数据发送,而IN通道则负责数据输入工作。通道建立完成后进行认证过程,如图2-5所示。

  远程桌面网关客户端与远程桌面网关服务器通过交换由HTTP请求和响应主体的消息来实现创建隧道和通道的过程,三种过程包含交换版本和能力协调信息,创建隧道,认证隧道,创建通道四累积操作,如图2-6所示。

  在数据和服务器消息交换过程中,远程桌面网关服务器和远程桌面网关客户端使用IN通道和OUT通道来进行数据的发送工作,另外会通过Keep-alive消息来实现检测服务器和客户端状况的功能。远程桌面网关服务器会不定时发送服务消息和重认证请求来确保客户端的有效性。

  在连接关闭过程中,远程桌面客户端和远程桌面服务器都可不也能关闭通道,如图2-7所示,客户端发起通道关闭,其中包括关闭通道和关闭隧道两步,

  远程桌面用户数据报协议被设计用来穿越防火墙在远程桌面网关客户端和终端服务器顶端进行传输图形图像,音频视频数据的协议。该协议会在远程桌面网关客户端上创建却说隧道后在隧道内创建四根连接客户端和终端服务器的通道,而远程桌面网关服务器会以却说代理的形式,数据通过这条建立好的通道进行传输。数据在远程桌面网关服务器到和远程桌面网关客户端使用用户数据报文协议进行传输,远程桌面网关客户端会与远程桌面网关服务器进行数据包传输层安全性协议(DTLS)握手后建立四根安全通道,进行相应的连接建立、数据传输以及关闭过程。

  DTLS握手过程会首先在远程桌面网关客户端和远程桌面网关服务器之间建立起四根安全的通道。握手的过程由却说操作组成,首先远程桌面网关客户端会通过可靠的最好的土办法发送第却说数据包,三种数据包会不断地重复发送给服务器端直到收到服务器的相应,不可能 在相应的次数内客户端非要 收到服务器端的相应,则会标识本次连接建立的过程失败。某些的DTLS握手过程都有通过不可靠的最好的土办法进行的,所有丢失的数据包都有会进行重传操作,客户端和服务器端负责丢失数据包重传的任务,过程如图2-8所示,

  连接建立的过程由三累积组成,首先远程桌面网关客户端发送相应次数的CONNET_PKT_Structure数据包到远程桌面网关服务器,直到收到从远程桌面网关服务器发送来的CONNET_PKT_RESP数据包。远程桌面网关服务器会使用在Connect_PKT_Structure数据包中的cookie来认证远程桌面网关客户端。当cookie校验成功,客户端会使用在cookie中指定的IP地址来建立四根UDP的连接。另却说远程桌面网关服务器会存储连接建立的结果,并发送给客户端,流程如图2-9所示,

  本过程实现了数据通过远程桌面网关服务器在远程桌面网关客户端和终端服务器另却说的传输。UDP会建立四根逻辑的隧道和四根客户端和终端服务器的端到端的连接后进行数据的传输工作

  本过程会终止UDP通道以及所有在客户端和网关服务器之间的连接。客户端和网关服务器都可不也能发送DISC_PKT_Structure数据包来实现该过程。过程如图2-10所示,

  本章具体介绍了要实现远程桌面网关服务所可不也能的却说关键协议:RDGWSP,RDGWHTTP和RDGWUDP,分析了每个协议在连接创建,数据传输,连接关闭等过程中的步骤与实现最好的土办法。

  传输层安全协议(TLS)通常被用来加密远程桌面网关客户端和远程桌面网关服务器之间所传说的数据,TLS作为却说标准的协议可不也能提供在公网不可能 内网安全的数据。为了使TLS可不也能正确的工作,用户可不也能在远程网关服务器上安装却说SSL兼容的X.10009证书。

  如要从外部CA获取证书,非要 外部的CA的证书可不也能被却说微软认证的公共CA所签名,却说不可能 证书是不可信任的,用户从我家有不可能 别的非工作包含不可能 无法连接网关服务器。而使用自颁发证书,一般用来在测试中对网关服务器的工作进行评估时使用,却说越来越了生产中使用。从有资质的公共CA购买证书是大累积实现远程桌面网关服务的通用最好的土办法。

  RD CAP和RD RAP使管理员可不也能控制当远程用户通过远程桌面网关来连接内网中的资源时的权限。RD CAP允许管理员指定哪些用户可不也能连接使用远程桌面网关服务器。管理员可不也能指定却说活动目录中的安全组不可能 指定用户可不也能满足的某些条件。当远程用户满足了RD CAP中设定的条件,该用户便可不也能连接使用远程桌面网关服务,却说还可不也能创建RD RAP来指定哪些用户可不也能访问哪些内网中的资源。管理员可不也能创建了RD CAP和RD RAP后,远程用户才可不也能通过远程桌面服务器访问内网资源。

  网络访问是操作系统中的一系列组件,哪些组件可不也能私有网络访问。NAP提供了却说集成的最好的土办法来验证系统的健康状况,其中包含运行状况策略创建、强制和正确处理技术等。可不也能将远程桌面网关服务器和客户端配置为使用网络访问,另却说便可不也能提高安全性。

  不可能 远程桌面网关对每个客户端会话使用却说连接,却说入站,却说出站。不可能 要在负载平衡器将每个连接收集到不同的远程桌面网关服务器时,来自却说连接的通信均将重定向到同一台远程桌面网关服务器。这时亲戚亲戚朋友就可不也能使用服务器场。

  远程桌面网关服务是却说Windows Server中的却说角色,故部署最好的土办法相对不复杂性。下面以在一台操作系统为Windows Server 10008 R2英文版的服务器上部署远程桌面网关服务为例介绍部署步骤。在部署另却说,亲戚亲戚朋友可不也能选择这台服务器不可能 加入了域。

  (1)服务器重启完毕后,打开服务器管理器,选择角色,换成角色,选中远程桌面服务(Remote Desktop Services),

  (2)点击下一步,选择远程桌面网关(Remote Desktop Gateway),点击下一步,点击“换成所需的服务”,再点击下一步。

  (3)在服务器认证证书步骤中,选择“稍后选择却说证书”(Choose a certificate….),点击下一步。在创建认证策略步骤中选择“稍后”(Later),却说点击下一步。

  (4)在网络策略和访问服务步骤中,选中网络策略服务器(Network Policy Server)后点击下一步。

  3.2.2.1 配置防火墙: 不可能 远程桌面网关服务器会与的客户端,不可能 某些设备通信,好多好多 亲戚亲戚朋友可不也能配置操作系统防火墙,以确保正常通信。可不也能确保将下列服务不可能 协议换成到防火墙的例外中,

  3.2.2.2 部署配置SSL证书:亲戚亲戚朋友使用公共CA提供的证书作为远程桌面网关证书为例介绍部署SSL证书的步骤。

  (1)首先亲戚亲戚朋友通过公共CA申请到却说SSL的证书后,从公共CA下载证书后,打开做证书请求的IIS服务器,点击完成证书申请却说导入证书。

  (3)当证书安装完毕后,打开远程桌面网关管理器,选中服务器后右键选择属性,选择从本地另一方存储导入证书(Select an existing…),选择导入(Import Certificate)的证书,点击选择。

  (1)在远程桌面网关服务器上,打开远程桌面网关管理器,右键选择一台服务器,选择属性后,选择服务器场(Server Farm),点击换成(Add)将一台服务器换成到该服务器场中,如图3-

  (4)在需求界面中,选择智能卡(Smartcard),却说选择却说域中的安全组加入到用户组中(User Group Membership)中,点击下一步。

  (7)点击下一步,选择却说域中的安全组加入到用户组中(User group membership)中,点击下一步,

  (8)在网络资源步骤中,可不也能控制哪些资源是可不也能被另却说换成了的组访问的,可不也能选择域中的组,三种组可不也能包含域中的服务器,也可不也能另一方创建却说远程桌面网关控制的组,单独换成服务器,还可不也能选择允许访问任何的服务器。在这里,亲戚亲戚朋友选择可不也能访问任何的资源(Allow users to connect to any network resource),点击下一步。

  (9)在允许的端口界面中,亲戚亲戚朋友可不也能指定端口来访问终端资源,可不也能选择默认的3389端口(Allow connections only through TCP port 3389),还可不也能指定某些端口,比如999111,999222等,另外还允许选择任意端口,不过三种最好的土办法安全性和可管不高。

  本章介绍了远程桌面网关服务的重要组件和功能,以及介绍了要怎样在Windows Server 10008 R2操作系统上部署远程桌面网关服务。

  在亲戚亲戚朋友使用部署好的远程桌面网关服务时, 会出先某些比较常见的间题报告 ,在三种章中,亲戚亲戚朋友讨论一下在使用远程桌面网关服务的过程中不可能 会出先的间题报告 ,以及正确处理思。

  正确处理思: 面对大面积用户的报告,亲戚亲戚朋友可不也能判定应该是远程桌面网关服务出先了间题报告 。亲戚亲戚朋友可不也能立刻检查远程桌面网关服务。

  调查步骤: 不可能 非要一台服务器作为远程桌面网关服务器提供服务,非要 首先可不也能尝试登陆该服务器,不可能 服务器可不也能登录,非要 可不也能利用图4-1中的命令查看远程桌面网关服务是是不是运行正常。

  不可能 有好多好多 台服务器在负载均衡器顶端作为远程桌面网关服务器提供服务,当其中一台服务器出先间题报告 无法提供服务时,负载均衡器我太满 将请求发送给有间题报告 的服务器,好多好多 ,服务器间题报告 我太满 是用户无法访问的根本导致 分析,除非所有在负载均衡器顶端的服务器同時 出间题报告 ,好多好多 亲戚亲戚朋友可不也能先利用端口检查程序池池来检查端口是是不是出于的状况,一般来讲亲戚亲戚朋友使用portqry命令来进行检查,具体命令如图4-2所示,

  不可能 TCP Port 443(https service): 是LISTENING状况,说明对外提供的网关服务是正常的。不可能 是FILTERED状况,则可不也能跟网络组同時 调查是是不是间题报告 与网络连接不可能 负载均衡器有关。

  正确处理思: 不可能 是个别用户报告亲戚亲戚朋友无法使用,却说某些用户非要 相同的反馈,非要 说明间题报告 都有出先在远程桌面网关服务,可不也能调查研究某些方面。

  这导致 分析,该用户非要 通过CAP的认证,好多好多 无法使用远程桌面网关服务来进行远程访问。出先三种间题报告 有不可能 不可能

  针对以上两点,可不也能跟用户企业合作同時 排错,首先检查用户的PIN吗是是不是输入正确,检查用户的智能卡是是不是在有效期,其次检查用户是是不是在被允许使用远程桌面网关服务器的安全组内。

  本文首先介绍了远程桌面网关服务的相关概念;研究了远程桌面网关服务所使用的相关核心协议,每个协议具体的流程步骤;通过较为完整篇 的图示案例,介绍了要怎样在Windows Server 10008 R2操作系统之上部署远程桌面网关服务;最后介绍了在日常工作中在使用远程桌面网关服务时常遇到的三种间题报告 ,却说讨论了正确处理思和调查步骤。通过了四章的介绍,相信读者不可能 对远程桌面网关服务的概念、原理、部署最好的土办法以及常见间题报告 和正确处理方案有了一定的理解。在另却说使用由世纪互联所运营的Microsoft Azure公有云平台进行远程资源访问都有更加地得心应手。