RDS Gateway 伺服器對於允許網際網路使用者安全存取 RDS 環境十分實用。
遠端桌面服務 (RDS) 閘道伺服器使用 SSL 憑證來加密用戶端與 RDS 伺服器之間的通訊。
IIS 用於驗證和設定原則,以精細定義哪些使用者應有權存取哪些資源。
本指南假設已存在 RDS 部署 (包含 RDS 連線代理人、授權和工作階段主機角色)。
如需設定基本或進階 RDS 部署的詳細資訊,請參閱 Dell KB 文章,217251如何 - 標準遠端桌面服務部署 - 逐步。另一個要檢視的文章是 KB 文章 215230安裝和啟用 RDS 工作階段主機(不含連線代理人 (工作組) - Windows Server 2022。
在為 RDS 部署代管 Connection Broker 角色的 Windows Server 電腦上,在 Server Manager 中,按一下 「管理 」然後 新增角色和功能。在歡迎畫面上按一下「 Next 」。
按一下 [Add Features] (新增功能 ) 以安裝先決條件,然後單 擊 [Next ] (下一步) 直到確認畫面,然後按一下 [Install] (安裝)。
等待安裝完成,然後按一下 「Close」。
回到Connection Broker 的 Server Manager,在遠端桌面服務節點中,按一下綠色圓圈,並在 RD 閘道上方加號。
選取設定為RD 閘道的伺服器。將它移至右側,然後按一下 [Next] (下一步)。
輸入 RD 閘道伺服器的 FQDN 。(此步驟可在本精靈建立的自我簽署憑證上設定主題。這不是本指南中使用的憑證。)按一下下一步。
按一下 [Add] (新增 ) 以確認部署的新增專案,等待部署完成安裝角色,然後按一下 [Close] (關閉)。
仍在 Server Manager 中,在 Connection Broker 的「Deployment Overview」下按一下「 工作 」,然後編輯 部署內容。
按一下 [ Certificates] (憑證) 節點。
重要!
為了進行測試,可以使用在這裡建立的自我簽署憑證,或使用精靈之前自動建立的憑證。但是,生產 RDS 環境應設定為使用來自受信任公有或網域認證機構的憑證。
本指南示範如何從受信任的公共認證機構設定憑證。如此一來,此憑證就不必安裝在用戶端電腦上。
按一下[Select an existing certificate] (選取現有的憑證)。輸入憑證的 路徑 。在此示範中,憑證已複製到網網域控制站中的 C:\ 磁片磁碟機根。輸入儲存的 密碼 。
按一下以 檢查 「允許將憑證新增至目的地電腦上的受根信任認證機構憑證存放區」核取方塊,然後按一下 「確定」。
請注意部署組態畫面中的 「Ready to Apply 」狀態。按一下套用。
稍後,畫面會顯示操作已成功完成,層級欄會將憑證辨識為「可信賴」。
按一下 RD Web Access 角色 ,然後重複步驟 13-16 以進行設定。這樣 IIS 便會使用相同的憑證。按一下 「確定 」以結束部署組態畫面。
使用者必須先設定 CAP 和 RAP,才能使用 RD Gateway 伺服器連線至部署。
連線授權原則 (CAP) 可讓您指定允許連線至 RDS 閘道伺服器的 WHO。
資源授權原則 (RAP) 可讓您指定授權使用者可存取的伺服器或電腦。
在 RDS Gateway 伺服器上,開啟Server Manager,按一下「工具」、「遠端桌面服務」,然後按一下「遠端桌面閘道管理員」。
以滑鼠右鍵按一下 伺服器名稱 (映射中的 RDSFARM),然後按一下 「Properties」。
在「Server Farm」標籤下,新增RD 閘道伺服器的名稱(再次加入映射中的 RDSFARM),然後按一下「Apply」。
忽略負載平衡器的錯誤。這是預期的。按一下 「確定」,再套用一次,現在狀態顯示「OK」。
在 SSL 憑證標籤中,可以檢視和變更 RD 閘道伺服器的憑證組態。如有需要,甚至會建立 新的自我簽署憑證 。不過,所有這一切都已在連線代理人中設定。
按一下 「Ok 」以結束內容畫面。
回到 RD Gateway Manager 的主要畫面,展開伺服器,然後再展開 原則。
以滑鼠右鍵按一下 「連線授權原則」,然後按一下 「建立新原則 」,然後按一下「 精靈」。
選 取「建立 RD CAP 」和「RD RAP 」(建議)。按一下下一步。
輸入 RD CAP的名稱。按一下下一步。
按一下 [Add Group] (新增群組),然後輸入包含允許連線之使用者的群組 名稱 。網域使用者用於本指南映射。按一下下一步。
在「裝置重新導向」和「會話逾時」步驟中保留預設值,在兩個畫面和「摘要」畫面中按一下「Next」,然後繼續進行RD RAP。
輸入 名稱,按一下 [Next] (下一步)。將 預設值 保留在「 使用者群組 」區段中,再按一下 「Next」 。
在網路資源畫面中,如果有包含此RDS 部署之工作階段主機伺服器電腦帳戶的 Active Directory 群組,請指定。否則,請選取「允許使用者連線至任何網路資源 (電腦)」選項。按一下下一步。
將內部網路閘道的 預設埠 3389 保留給 RDS 工作階段主機通訊。按一下下一步。
在摘要畫面中按一下 「Finish 」,然後 關閉。
RDS Gateway 伺服器已準備好置於防火牆之外,面向網際網路使用者。嘗試透過網際網路從家庭或遠端辦公室位置連線到 RDS 工作階段主機的使用者,必須先通過此 RDS Gateway 伺服器。
若要使用新設定的RD 閘道連線至RDS 部署,請在用戶端機器的遠端桌面聯機應用程式上,輸入RD 工作階段主機或目的機器的名稱。
按一下「 顯示選項」 按鈕、 「進階 」標籤,然後在 「從任何地方聯 機」區段中按一下 「設定」。
按一下「使用這些 RD Gateway Server settings」比例按鈕,然後輸入RDS Gateway的公用 DNS 名稱。
按一下 「OK」 並 連線。輸入RD 閘道伺服器和目標工作階段主機的網域使用者名稱和密碼。連線應該會成功。
回到 RDS Gateway 機器,在 RD Gateway Manager 中,在「監視」底下可以看到連線詳細資料。