以最正确的方式开启远程桌面网关,以server2019为例

佛西 2020-04-16 pve, Windows, 云桌面, 虚拟化
Table Of Contents

1、写在最前!

时隔一年,再度研究,豁然开朗。

介绍下以前的经历。以前在一个没80/443的专线上,做了一个虚拟机服务器,里,端口映射太麻烦了,就相中了微软的【远程桌面网关】。本地测试完全没问题,上线在公网上的时候,根本不通。

聪明的兄弟,一下子就看出来问题了!80/443端口不通导致远程桌面网关无法访问。昨天再次研究这个东西,今天豁然开朗,首先介绍一下这个远程桌面网关是什么原理!

学习nginx的朋友,肯定知道反向代理,而远程桌面网关,就是一个反向代理!

用户连接到RDP网关,第一步是连接到IIS。然后,有个授权管理器+授权策略(NAPS+RD CAP),通过前者的验证之后,RDP开始给你代理资源,也就是通过3389rdp协议连接到后面的虚拟机或者物理机!

第一步连接到IIS是通过https协议的,所以我当时443不通,也就导致了外网无法连接到网关服务器。

所以关键就是!把443改成其他端口 ,但是如果在RDP网关管理器中改,会出错,如下图

实际操作中,这一步完全是多余的,直接在IIS里,添加HTTPS监听端口就行!

当然这样做的一个不好的地方,在mstsc软件中,你的设置网关服务器地址为 网关域名+端口,如下

优点就是安全性很高!而且根本不用在网关服务器开其他端口。只需要一个端口就行。因为外网不是通过3389rdp协议连接到网关服务器的!而是https。当然如果选择使用UDP传输,还得开udp端口,后面会讲!

2、操作步骤

2.1 为服务器 添加 AD域,远程桌面网关角色

设计一下域架构

域:270nb.com
域控制器名:ad
rd网关用户组/用户:rdpaccess/rdp
外网ip:192.168.4.250
内网IP:10.13.14.250

2.1.1首先更改电脑名为ad

更改之后,重启

2.1.2修改网卡ip,为预先规划的ip,具体步骤我略过

2.1.3 添加角色

这里rd授权可以按照自己需求添加

2.1.4 安装域控制器

等待 ad安装完成

2.2 配置rd用户组和用户

2.3 申请SSL证书。

使用远程桌面网关对证书是很严格的,所以不使用自签名证书。可以去freessl申请一个证书。

我申请的为证书名为 rdp.270nb.com

将域名解析到公网ip地址上,192.168.4.250

2.4 配置远程桌面网关基本属性

打开【服务器管理器】——【远程桌面服务】——【服务器】,选中服务器,右击,点击【RD网关管理器】_选中服务器,右击 属性

找到SSL证书,导入申请的ssl证书

配置好了 应用

点击服务器场,将网关服务器ip添加上去

配置好了 应用

2.5 配置远程桌面网关授权策略

这里有2个策略。

一个是连接策略:配置哪些人能够连接
一个是授权策略:配置这些人能够连接哪些资源

点击策略,新建授权策略
点击创建2个的
在此添加rdpaccess组

2.6 修改IIS端口

打开IIS,找到default web。右击编辑绑定,点击添加

选择HTTPS,端口改成自己端口,证书选择刚才申请的ssl证书

在windows防火墙里,新建入站规则,开启tcp15443/udp3391端口

2.7 路由映射

在路由上,将公网tcp15443/udp3391端口映射到rd网管tcp15443/udp3391端口

2.8 测试

设定好网关服务器
输入网关服务器 授权账号rdp@270nb.com
过些时间,就会出现这个,输入内网计算机的账号密码
已经连上去了
在网关管理器中,可以查看到连接状况

2.9 超融合的集群配置

这里提供一下思路,在路由上,对多个公网ip映射到网关管理器。
在dns的解析上,设定三网解析
在后端网关管理器上,可以设置多个网关管理器。当然这都需要100多个人才适用。

版权声明:
作者:佛西
链接:https://foxi.buduanwang.vip/vdi/510.html/
文章版权归作者所有,未经允许请勿转载
如需获得支持,请点击网页右上角
THE END
分享
二维码
海报
以最正确的方式开启远程桌面网关,以server2019为例
1年踩坑,一夜顿悟!
<<上一篇
下一篇>>