大发5分彩网站Windows Server远程桌面网关深入浅出

  • 时间:
  • 浏览:0
  • 来源:彩神app下载官方-彩神8app下载

  随着信息技术的不断发展,使得在任何地方都在可能 进行IT资源部署,尤其是服务器资源的部署。而亲身在现场进行部署不可能 工作对于IT人员来讲无须现实,会耗费多量的人力物力。远程桌面服务可不没办法 实现远程访问,操控资源,从而提供了五种方便快捷的辦法 来进行服务器的远程管理。远程桌面网关服务作为实现远程桌面服务的核心技术,实现了接受远程访问要求,控制远程访问的工作。

  本文将从四每段对Windows Server远程桌面网关服务进行讨论,该服务是世纪互联蓝云运营的Microsoft Azure公有云平台实现的客户远程访问公有云资源的核心服务。本文首先对远程桌面服务和远程桌面网关服务进行介绍,其中介绍了包括实现服务所没办法 的角色和功能,远程桌面网关服务的基本原理,有后后对远程桌面网关的核心协议进行讨论,接下来介绍了怎么才能 才能 在Windows Server 10008 R2服务器上部署远程桌面网关服务,在本文最后的每段,探讨了五种在日常工作中与远程桌面网关服务相关的不可能 出现的问题图片,提供了相应的解决思和辦法 。

  远程桌面服务可不没办法 实现全都 功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可不没办法 单会话实现远程运行,远程使用Web应用守护tcp连接等功能。

  为了实现上述功能,Windows Server远程桌面服务含高了六种关键角色,如表1-1所示,表1-1 远程服务角色及作用

  实现服务器去承载远程应用作为基于会话的桌面,用户可不没办法 使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源。

  实现有另另2个 服务器可不没办法 管理客户端访问授权,该授权可不没办法 允许每个设备不可能 用户连接基于远程桌面会话的服务器。

  远程桌面服务提供了一系列的解决方案来实现用户远程访问或是操作,为用户提供了便利。下面当当我们都 歌词 继续介绍本文的重点内容远程桌面网关。

  上一小节概要的介绍了远程桌面服务,以及该服务所含高的相应功能。本小节不可能 介绍本章的重点内容--远程桌面网关。

  远程桌面网关(Remote Desktop Gateway)在上小节中提到是作为有另另2个 角色来实现允许被授权的用户通过公有网络来访问居于私有网络中的资源,资源可不没办法 是远程服务器、不可能 运行远程应用的服务器,也可不没办法 是远程桌面的服务器不可能 此人 电脑。远程桌面网关使用在安全超文本传输协议(HTTPS)上的远程桌面协议(RDP)来在公共网络中进行远程访问和在私有网络中的设备不可能 服务器之间建立有另另2个 安全加密的连接。

  用户通过互联网,也全都 我通过公共网络直接去尝试连接在防火墙中间的资源时,没办法 在防火墙上3389端口不可能 有后后 远程桌面的端口。不可能 是不方便相应端口,远程访问操作也就没办法 实现。

  最后有另另2个 问题图片是即便在防火墙上了3389端口也是不安全的,不可能 会对私有网络中居于有后后了3389或相应远程桌面端口的服务器不可能 资源造成安全,不可能 任何人都可不没办法 尝试远程桌面端口来进行服务器端的密码破解。

  Windows Server远程桌面网关可不没办法 很好的解决上述三点问题图片,不可能 远程桌面网关含高了以下社会形态,

  · 提供了友好的辦法 ,可不没办法 帮助管理人员随时远程桌面网关具体情况,健康度和事件,已达到更好管理的目的。

  当当当我们都 歌词 在中部署了远程桌面网关后后,客户端的连接远程桌面会话主机的辦法 居于了根本的变化,如图1-3所示,

  当当我们都 歌词 可不没办法 看一遍,在公网(Internet)的用户使用笔记本(Home Laptop)想访问公司外部的私有网络中(Corporate/Private Network)的服务器或台式机,首先没办法 先与远程桌面网关服务通过基于安全套字节层的远程桌面协议(RDP over SSL)建立有另另2个 安全的通信通道,有后后再通过远程桌面网关的远程桌面端口连接到公司外部的资源的远程桌面3389端口,从前就建立起了根小从用户到远程终端的安全通信链。

  本章介绍了远程桌面与远程桌面网关的基本概念,其中包括了各个远程桌面的角色,以及每个角色可不没办法 实现的功能。另外通过分析用户远程访问时所面临的问题图片,引出了Windows Server远程桌面网关的优势,最后介绍了远程桌面网关部署后的访问辦法 。

  从第一章的介绍可知,有另另2个 用户我应该 从俺家 访问公司外部生产中的服务器是通过根小安全的通道来进行通信的,故怎么才能 才能 建立这条安全通道是实现远程桌面网关服务的重点。而建立通道所没办法 的协议则是核心,本章主要研究远程桌面网关的核心协议。

  远程桌面网关使用远程桌面网关协议集实现用户远程访问,协议从远程桌面网关客户端到远程桌面网关服务器在中立区域建立根小隧道,远程桌面网关客户端会利用该隧道来在客户端和终端服务器之间建立根小通道,数据则通过这条通道在客户端和终端服务器之间进行传输。隧道和通道一块儿活跃的通信连接。

  客户端会建立根小主通道到终端服务器,还可不没办法 建立零到多个辅助通道,远程桌面网关协议使用RPC Over HTTP和HTTP五种协议来进行主通道的建立,该协议还使用UDP传输协议来建立侧通道。

  由2.1小节可知,远程桌面网关使用了RPC over HTTP、HTTP以及UDP协议进行通道建立来实现用户与终端服务器之间的通信。这一小节来介绍每个协议进行通道建立,数据传输,通道关闭等功能的具体步骤。

  远程桌面网关服务器协议使用RPC over HTTP来进行通道建立,数据传输,通道关闭。从远程桌面网关服务器到客户端执行RPC out pipe,从客户端到远程桌面网关执行RPC calls来实现通信。下面来研究每一步的过程。

  通道的建立分为从客户端到远程桌面网关服务器,再从远程桌面网关服务器到终端服务器两每段,这一过程含高了2个操作步骤,

  在建立连接过程中,客户端会根据网关服务器的所支持的协议版本、服务器证书利用TsProxyCreateTunnel辦法 建立根小隧道。接下来利用TsProxyAuthorizeTunnel辦法 对远程桌面网关客户端执行授权规则,其中包括健康检查,强制用户授权的隧道认证操作,后后不可能 客户端和网关服务器才能发送和接收管理消息,远程桌面网关客户端可不没办法 调用TsProxyMakeTunnelCall辦法 来请求消息。最后利用TsProxyCreateChannel辦法 在不可能 建立好的隧道中建立有另另2个 通道来实现接下来的数据传输工作。

  2.2.1.2 数据传输:数据传输过程将允许从客户端到终端服务器进行数据传输工作,在这一工作成,远程桌面网关服务器扮演者有另另2个 中间代理者的角色,如图2-2所示,

  远程桌面网关客户端会与远程桌面网关服务器建立有另另2个 连接,有后后远程桌面服务器再跟终端服务器建立根小的连接,从前,从客户端到终端服务器的这条逻辑链称为根小通道,而这条通道没办法 建立在隧道之内,但有另另2个 隧道可不没办法 容纳多条通道一块儿通信。

  数据从终端服务器到客户端通过远程桌面网关服务器使用out pipe进行传输。远程桌面网关服务器协议使用RPC out pipes将数据从远程桌面网关服务器到客户端进行数据流化传输。数据流的工作是由TsProxySetupReceivePipe辦法 来实现的,有另另2个 通道一次只可不没办法 调用一次该辦法 。而数据从客户端通过远程桌面网关服务器传输至终端服务器时,会调用TsProxySendToServer辦法 来实现数据的传输,具体过程如图2-3所示,

  2.1.1.3 刚现在开始过程:刚现在开始过程是去终止通道和隧道的过程,其中含高了关闭通道,归还 停留消息以及关闭隧道有另另2个 子过程,如图2-4所示,

  远程桌面网关客户端都可不没办法 发起刚现在开始过程,客户端使用TsProxyCloseChannel辦法 来启动这一过程,该过程会关闭在传输数据过程中所使用的RPC out pipe,而远程桌面网关服务器则发送有另另2个 RPC response protocol data unit(PDU)来刚现在开始通过TsProxySetupReceivePipe辦法 来建立的数据传输。不可能 远程桌面网关客户端还有对于远程桌面网关服务器的停留的管理消息的请求,客户端将调用TsProxyMakeTunnel辦法 来归还 该请求。在结果过程的最后,当所有的通道关闭后,会调用TsProxyCloseTunnel辦法 来关闭隧道,整个过程刚现在开始。

  远程桌面网关超文本协议(RDGWHTTP)使用超文本协议(HTTP)来创建两条通信通道,分别负责接收来自远程桌面网关服务器和发送数据到远程桌面网关服务器,每根小通道被加密协议SSL所,这也是部署远程桌面网关服务器最常用的五种协议。RDGWHTTP使用HTTP协议来实现2个过程,分别为建立连接与认证、创建隧道和通道、数据传输以及关闭连接。

  OUT和IN通道是根小HTTP1.1连接,不可能 远程桌面网关服务器和远程桌面网关客户端支持WebSocket协议,那OUT通道和IN通道便可实现双向通信功能,不可能 不支持,则OUT通道负责远程桌面网关的数据发送,而IN通道则负责数据输入工作。通道建立完成后进行认证过程,如图2-5所示。

  远程桌面网关客户端与远程桌面网关服务器通过交换由HTTP请求和响应主体的消息来实现创建隧道和通道的过程,这一过程含高交换版本和能力协调信息,创建隧道,认证隧道,创建通道四每段操作,如图2-6所示。

  在数据和服务器消息交换过程中,远程桌面网关服务器和远程桌面网关客户端使用IN通道和OUT通道来进行数据的发送工作,另外会通过Keep-alive消息来实现检测服务器和客户端具体情况的功能。远程桌面网关服务器会不定时发送服务消息和重认证请求来确保客户端的有效性。

  在连接关闭过程中,远程桌面客户端和远程桌面服务器都可不没办法 关闭通道,如图2-7所示,客户端发起通道关闭,其中包括关闭通道和关闭隧道两步,

  远程桌面用户数据报协议被设计用来穿越防火墙在远程桌面网关客户端和终端服务器中间进行传输图形图像,音频视频数据的协议。该协议会在远程桌面网关客户端上创建有另另2个 隧道后在隧道内创建根小连接客户端和终端服务器的通道,而远程桌面网关服务器会以有另另2个 代理的形式,数据通过这条建立好的通道进行传输。数据在远程桌面网关服务器到和远程桌面网关客户端使用用户数据报文协议进行传输,远程桌面网关客户端会与远程桌面网关服务器进行数据包传输层安全性协议(DTLS)握手后建立根小安全通道,进行相应的连接建立、数据传输以及关闭过程。

  DTLS握手过程会首先在远程桌面网关客户端和远程桌面网关服务器之间建立起根小安全的通道。握手的过程由有另另2个 操作组成,首先远程桌面网关客户端会通过可靠的辦法 发送第有另另2个 数据包,这一数据包会不断地重复发送给服务器端直到收到服务器的相应,不可能 在相应的次数内客户端没办法 收到服务器端的相应,则会标识本次连接建立的过程失败。有后后 的DTLS握手过程都在通过不可靠的辦法 进行的,所有丢失的数据包都在会进行重传操作,客户端和服务器端负责丢失数据包重传的任务,过程如图2-8所示,

  连接建立的过程由三每段组成,首先远程桌面网关客户端发送相应次数的CONNET_PKT_Structure数据包到远程桌面网关服务器,直到收到从远程桌面网关服务器发送来的CONNET_PKT_RESP数据包。远程桌面网关服务器会使用在Connect_PKT_Structure数据包中的cookie来认证远程桌面网关客户端。当cookie校验成功,客户端会使用在cookie中指定的IP地址来建立根小UDP的连接。后后远程桌面网关服务器会存储连接建立的结果,并发送给客户端,流程如图2-9所示,

  本过程实现了数据通过远程桌面网关服务器在远程桌面网关客户端和终端服务器后后的传输。UDP会建立根小逻辑的隧道和根小客户端和终端服务器的端到端的连接后进行数据的传输工作

  本过程会终止UDP通道以及所有在客户端和网关服务器之间的连接。客户端和网关服务器都可不没办法 发送DISC_PKT_Structure数据包来实现该过程。过程如图2-10所示,

  本章具体介绍了要实现远程桌面网关服务所没办法 的有另另2个 关键协议:RDGWSP,RDGWHTTP和RDGWUDP,分析了每个协议在连接创建,数据传输,连接关闭等过程中的步骤与实现辦法 。

  传输层安全协议(TLS)通常被用来加密远程桌面网关客户端和远程桌面网关服务器之间所传说的数据,TLS作为有另另2个 标准的协议可不没办法 提供在公网不可能 内网安全的数据。为了使TLS可不没办法 正确的工作,用户没办法 在远程网关服务器上安装有另另2个 SSL兼容的X.10009证书。

  如要从外部CA获取证书,没办法 外部的CA的证书没办法 被有另另2个 微软认证的公共CA所签名,有后后不可能 证书是不可信任的,用户从俺家 不可能 别的非工作含高不可能 无法连接网关服务器。而使用自颁发证书,一般用来在测试中对网关服务器的工作进行评估时使用,有后后不在 生产中使用。从有资质的公共CA购买证书是大每段实现远程桌面网关服务的通用辦法 。

  RD CAP和RD RAP使管理员可不没办法 控制当远程用户通过远程桌面网关来连接内网中的资源时的权限。RD CAP允许管理员指定那先 用户可不没办法 连接使用远程桌面网关服务器。管理员可不没办法 指定有另另2个 活动目录中的安全组不可能 指定用户没办法 满足的有后后 条件。当远程用户满足了RD CAP中设定的条件,该用户便可不没办法 连接使用远程桌面网关服务,有后后还没办法 创建RD RAP来指定那先 用户可不没办法 访问那先 内网中的资源。管理员没办法 创建了RD CAP和RD RAP后,远程用户才可不没办法 通过远程桌面服务器访问内网资源。

  网络访问是操作系统中的一系列组件,那先 组件可不没办法 私有网络访问。NAP提供了有另另2个 集成的辦法 来验证系统的健康具体情况,其中含高运行具体情况策略创建、强制和解决技术等。可不没办法 将远程桌面网关服务器和客户端配置为使用网络访问,从前便可不没办法 提高安全性。

  不可能 远程桌面网关对每个客户端会话使用有另另2个 连接,有另另2个 入站,有另另2个 出站。不可能 要在负载平衡器将每个连接收集到不同的远程桌面网关服务器时,来自有另另2个 连接的通信均将重定向到同一台远程桌面网关服务器。这时当当我们都 歌词 就没办法 使用服务器场。

  远程桌面网关服务是有另另2个 Windows Server中的有另另2个 角色,故部署辦法 相对不复杂性。下面以在一台操作系统为Windows Server 10008 R2英文版的服务器上部署远程桌面网关服务为例介绍部署步骤。在部署后后,当当我们都 歌词 没办法 选用这台服务器不可能 加入了域。

  (1)服务器重启完毕后,打开服务器管理器,选用角色,加进角色,选中远程桌面服务(Remote Desktop Services),

  (2)点击下一步,选用远程桌面网关(Remote Desktop Gateway),点击下一步,点击“加进所需的服务”,再点击下一步。

  (3)在服务器认证证书步骤中,选用“稍后选用有另另2个 证书”(Choose a certificate….),点击下一步。在创建认证策略步骤中选用“稍后”(Later),有后后点击下一步。

  (4)在网络策略和访问服务步骤中,选中网络策略服务器(Network Policy Server)后点击下一步。

  3.2.2.1 配置防火墙: 不可能 远程桌面网关服务器会与的客户端,不可能 有后后 设备通信,全都 当当我们都 歌词 没办法 配置操作系统防火墙,以确保正常通信。没办法 确保将下列服务不可能 协议加进到防火墙的例外中,

  3.2.2.2 部署配置SSL证书:当当我们都 歌词 使用公共CA提供的证书作为远程桌面网关证书为例介绍部署SSL证书的步骤。

  (1)首先当当我们都 歌词 通过公共CA申请到有另另2个 SSL的证书后,从公共CA下载证书后,打开做证书请求的IIS服务器,点击完成证书申请有后后导入证书。

  (3)当证书安装完毕后,打开远程桌面网关管理器,选中服务器后右键选用属性,选用从本地此人 存储导入证书(Select an existing…),选用导入(Import Certificate)的证书,点击选用。

  (1)在远程桌面网关服务器上,打开远程桌面网关管理器,右键选用一台服务器,选用属性后,选用服务器场(Server Farm),点击加进(Add)将一台服务器加进到该服务器场中,如图3-

  (4)在需求界面中,选用智能卡(Smartcard),有后后选用有另另2个 域中的安全组加入到用户组中(User Group Membership)中,点击下一步。

  (7)点击下一步,选用有另另2个 域中的安全组加入到用户组中(User group membership)中,点击下一步,

  (8)在网络资源步骤中,可不没办法 控制那先 资源是可不没办法 被后后加进了的组访问的,可不没办法 选用域中的组,这一组可不没办法 含高域中的服务器,也可不没办法 此人 创建有另另2个 远程桌面网关控制的组,单独加进服务器,还可不没办法 选用允许访问任何的服务器。在这里,当当我们都 歌词 选用可不没办法 访问任何的资源(Allow users to connect to any network resource),点击下一步。

  (9)在允许的端口界面中,当当我们都 歌词 可不没办法 指定端口来访问终端资源,可不没办法 选用默认的3389端口(Allow connections only through TCP port 3389),还可不没办法 指定有后后 端口,比如999111,999222等,另外还允许选用任意端口,不过这一辦法 安全性和可管不高。

  本章介绍了远程桌面网关服务的重要组件和功能,以及介绍了怎么才能 才能 在Windows Server 10008 R2操作系统上部署远程桌面网关服务。

  在当当我们都 歌词 使用部署好的远程桌面网关服务时, 会出现有后后 比较常见的问题图片,在这一章中,当当我们都 歌词 讨论一下在使用远程桌面网关服务的过程中不可能 会出现的问题图片,以及解决思。

  解决思: 面对大面积用户的报告,当当我们都 歌词 可不没办法 判定应该是远程桌面网关服务出现了问题图片。当当我们都 歌词 没办法 立刻检查远程桌面网关服务。

  调查步骤: 不可能 没办法 一台服务器作为远程桌面网关服务器提供服务,没办法 首先没办法 尝试登陆该服务器,不可能 服务器可不没办法 登录,没办法 可不没办法 利用图4-1中的命令查看远程桌面网关服务否有 运行正常。

  不可能 有全都 台服务器在负载均衡器中间作为远程桌面网关服务器提供服务,当其中一台服务器出现问题图片无法提供服务时,负载均衡器后要将请求发送给有问题图片的服务器,全都 ,服务器问题图片后随后用户无法访问的根本愿因着,除非所有在负载均衡器中间的服务器一块儿出问题图片,全都 当当我们都 歌词 没办法 先利用端口检查守护tcp连接来检查端口否有 出于的具体情况,一般来讲当当我们都 歌词 使用portqry命令来进行检查,具体命令如图4-2所示,

  不可能 TCP Port 443(https service): 是LISTENING具体情况,说明对外提供的网关服务是正常的。不可能 是FILTERED具体情况,则没办法 跟网络组一块儿调查否有 问题图片与网络连接不可能 负载均衡器有关。

  解决思: 不可能 是个别用户报告当当我们都 歌词 无法使用,有后后有后后 用户没办法 相同的反馈,没办法 说明问题图片都在出现在远程桌面网关服务,没办法 调查研究有后后 方面。

  这愿因着着,该用户没办法 通过CAP的认证,全都 无法使用远程桌面网关服务来进行远程访问。出现这一问题图片有不可能 不可能

  针对以上两点,没办法 跟用户商务商务合作一块儿排错,首先检查用户的PIN吗否有 输入正确,检查用户的智能卡否有 在有效期,其次检查用户否有 在被允许使用远程桌面网关服务器的安全组内。

  本文首先介绍了远程桌面网关服务的相关概念;研究了远程桌面网关服务所使用的相关核心协议,每个协议具体的流程步骤;通过较为全部的图示案例,介绍了怎么才能 才能 在Windows Server 10008 R2操作系统之上部署远程桌面网关服务;最后介绍了在日常工作中在使用远程桌面网关服务时常遇到的五种问题图片,有后后讨论了解决思和调查步骤。通过了四章的介绍,相信读者不可能 对远程桌面网关服务的概念、原理、部署辦法 以及常见问题图片和解决方案有了一定的理解。在后后使用由世纪互联所运营的Microsoft Azure公有云平台进行远程资源访问都会更加地得心应手。