如何在 Windows Server 2022、2019 或 2016 中设置远程桌面服务网关服务器

简介

RDS 网关服务器对于允许 Internet 用户安全访问 RDS 环境非常有用。

远程桌面服务 （RDS） 网关服务器使用 SSL 证书来加密客户端与 RDS 服务器之间的通信。

IIS 用于身份验证和配置策略，以精确定义哪些用户应该有权访问哪些资源。

本指南假定 RDS 部署（包含 RDS 连接代理、许可和会话主机角色）已存在。

有关设置基本或高级 RDS 部署的更多信息，请参阅戴尔知识库文章 217251 如何 - 标准远程桌面服务部署 - 逐步。另一篇要查看的文章是知识库文章 215230 在没有连接代理（工作组）的情况下安装和激活 RDS 会话主机 - Windows Server 2022。 

部署 RD 网关服务器角色。

1. 在托管 RDS 部署连接代理角色的 Windows Server 计算机上，在 Server Manager 中，单击 Manage ，然后 单击 Add Roles and Features 。单击 Welcome（欢迎）屏幕上的 Next（下一步 ）。

2. 选择 基于角色或基于功能的 安装，然后单击 下一步 。
3. 选择此部署的 RD 网关角色 的目标服务器 ，然后单击 下一步 。在目标服务器下面的屏幕截图中，是“rdsfarm”。 
4. 在 角色 屏幕中，展开 远程桌面服务 ，然后单击 远程桌面网关 复选框。

5. 单击 Add Features （添加功能 ）以安装前提条件，然后单击 Next （下一步 ）直到确认屏幕，然后单击 Install （安装）。

6. 等待它完成安装，然后单击 关闭 。

7. 返回 到连接代理的服务器管理器，在远程桌面服务节点中，单击 RD 网关上方带有加号的 绿色圆圈 。

8. 选择配置为 RD 网关的服务器。将其移至右侧，然后单击 Next （下一步）。

9. 输入 RD 网关服务器的 FQDN 。（此步骤针对此向导创建的自签名证书配置主题。这不是本指南中使用的证书。）单击 Next。

10. 单击 添加 以确认添加到部署，等待其完成角色安装，然后单击 关闭 。

配置证书。

11. 仍在 Server Manager 中，在 Connection Broker 中，在 Deployment Overview 下，单击 Tasks ，然后单击 Edit Deployment Properties 。
      
    

12. 单击 证书 节点。

重要！
出于测试目的，可以使用在此处创建的自签名证书，或类似于之前在向导中自动创建的证书。但是，生产 RDS 环境应配置为使用来自受信任公共或基于域的认证机构的证书。
本指南演示如何配置来自受信任公共认证机构的证书。这样，此证书就不必安装在客户端计算机上。
 

13. 单击 选择 现有证书 。输入证书的 路径 。在此演示中，证书已复制到域控制器中 C：\ 驱动器的根目录。输入使用它保存的 密码 。

14. 单击以 选 中“允许将证书添加到目标计算机上的受信任根证书颁发机构证书存储”复选框，然后单击 确定 。

15. 请注意部署配置屏幕中的 “Ready to Apply ”状态。单击 Apply。

16. 片刻后，屏幕显示操作已成功完成，级别列将证书识别为“受信任”。

17. 单击 RD Web Access 角色 并重复步骤 13-16 以进行配置。通过这种方式，相同的证书用于 IIS。单击 确定 退出部署配置屏幕。

配置连接授权策略和资源授权策略。

在用户使用 RD 网关服务器连接到部署之前，需要配置 CAP 和 RAP。

连接授权策略 （CAP） 允许您指定允许谁连接到 RDS 网关服务器。

资源授权策略 （RAP） 允许您指定授权用户有权访问的服务器或计算机。
 

18. 在 RDS 网关服务器上，打开 服务器管理器 ，单击 工具 、 远程桌面服务 ，然后单击 远程桌面网关管理器 。

19. 右键单击 服务器名称 （图像中的 RDSFARM），然后单击 属性 。

20. 在 服务器场 选项卡下，添加 RD 网关服务器的名称（同样，映像中的 RDSFARM），然后单击 应用 。 
    
    

21. 忽略有关负载平衡器的错误。这是预期的。单击 “Ok”，再应用一次，状态现在显示“OK”。

22. 在 SSL 证书选项卡中，可以查看和更改 RD 网关服务器的证书配置。如果需要，甚至可以创建 新的自签名证书 。但是，所有这些都已在连接代理中配置。

23. 单击 确定 退出属性屏幕。

24. 返回 RD Gateway Manager 的主屏幕，展开服务器，然后展开 策略。
     

25. 右键单击 连接授权策略 ，然后单击 创建新策略 ，然后单击 向导 。

26. 选择 创建 RD CAP 和 RD RAP （推荐）。单击 Next。

27. 输入 RD CAP 的名称。单击 Next。

28. 单击 Add Group 并输入包含允许连接的用户的组 的名称 。域用户用于此指南映像。单击 Next。

29. 保留“设备重定向”和“会话超时”步骤中的默认值，单击两个屏幕上以及“Summary”屏幕中的“Next”，然后继续执行 RD RAP。

30. 输入 名称，单击 下一步 。在 用户组 部分中保留默认值，再次单击 下一步 。

31. 在 网络资源 屏幕中，如果有一个 Active Directory 组包含此 RDS 部署的会话主机服务器的计算机帐户，请指定它。否则，请选择“允许用户连接到任何网络资源（计算机）”选项。单击 Next。

32. 保留 3389 的 默认端口 ，以便内部网网关与 RDS 会话主机通信。单击 Next。

33. 在摘要屏幕中单击 完成 ，然后 单击 关闭 。

RDS 网关服务器已准备好置于防火墙之外，面向 Internet 用户。尝试通过互联网从家庭或远程办公室位置连接到 RDS 会话主机的用户必须首先通过此 RDS 网关服务器。

连接到部署

1. 要使用新配置的 RD 网关连接到 RDS 部署，请在客户端计算机的 远程桌面连接 应用程序上，输入 RD 会话主机或目标计算机的名称。

2. 单击“Show Options”按钮“Advanced”选项卡，然后在“Connect from Anywhere”部分中单击“Settings”。

3. 单击“Use these RD Gateway server settings”比率按钮，然后输入 RDS 网关的公共 DNS 名称。

4. 单击 确定 和 连接 。输入 RD 网关服务器和目标会话主机的域用户名和密码。连接应成功。

监视 RD 网关连接

返回 RDS 网关计算机中的 RD Gateway Manager，在 监测 下，连接详细信息可见。