1、写在最前!
时隔一年,再度研究,豁然开朗。
介绍下以前的经历。以前在一个没80/443的专线上,做了一个虚拟机服务器,里,端口映射太麻烦了,就相中了微软的【远程桌面网关】。本地测试完全没问题,上线在公网上的时候,根本不通。
聪明的兄弟,一下子就看出来问题了!80/443端口不通导致远程桌面网关无法访问。昨天再次研究这个东西,今天豁然开朗,首先介绍一下这个远程桌面网关是什么原理!
学习nginx的朋友,肯定知道反向代理,而远程桌面网关,就是一个反向代理!
用户连接到RDP网关,第一步是连接到IIS。然后,有个授权管理器+授权策略(NAPS+RD CAP),通过前者的验证之后,RDP开始给你代理资源,也就是通过3389rdp协议连接到后面的虚拟机或者物理机!
第一步连接到IIS是通过https协议的,所以我当时443不通,也就导致了外网无法连接到网关服务器。
所以关键就是!把443改成其他端口 ,但是如果在RDP网关管理器中改,会出错,如下图
实际操作中,这一步完全是多余的,直接在IIS里,添加HTTPS监听端口就行!
当然这样做的一个不好的地方,在mstsc软件中,你的设置网关服务器地址为 网关域名+端口,如下
优点就是安全性很高!而且根本不用在网关服务器开其他端口。只需要一个端口就行。因为外网不是通过3389rdp协议连接到网关服务器的!而是https。当然如果选择使用UDP传输,还得开udp端口,后面会讲!
2、操作步骤
2.1 为服务器 添加 AD域,远程桌面网关角色
设计一下域架构
域:270nb.com
域控制器名:ad
rd网关用户组/用户:rdpaccess/rdp
外网ip:192.168.4.250
内网IP:10.13.14.250
2.1.1首先更改电脑名为ad
更改之后,重启
2.1.2修改网卡ip,为预先规划的ip,具体步骤我略过
2.1.3 添加角色
2.1.4 安装域控制器
2.2 配置rd用户组和用户
2.3 申请SSL证书。
使用远程桌面网关对证书是很严格的,所以不使用自签名证书。可以去freessl申请一个证书。
我申请的为证书名为 rdp.270nb.com
将域名解析到公网ip地址上,192.168.4.250
2.4 配置远程桌面网关基本属性
打开【服务器管理器】——【远程桌面服务】——【服务器】,选中服务器,右击,点击【RD网关管理器】_选中服务器,右击 属性
找到SSL证书,导入申请的ssl证书
点击服务器场,将网关服务器ip添加上去
2.5 配置远程桌面网关授权策略
这里有2个策略。
一个是连接策略:配置哪些人能够连接
一个是授权策略:配置这些人能够连接哪些资源
2.6 修改IIS端口
打开IIS,找到default web。右击编辑绑定,点击添加
在windows防火墙里,新建入站规则,开启tcp15443/udp3391端口
2.7 路由映射
在路由上,将公网tcp15443/udp3391端口映射到rd网管tcp15443/udp3391端口
2.8 测试
2.9 超融合的集群配置
这里提供一下思路,在路由上,对多个公网ip映射到网关管理器。
在dns的解析上,设定三网解析
在后端网关管理器上,可以设置多个网关管理器。当然这都需要100多个人才适用。
cialis uk supplier can i buy cialis local female cialis [url=https://regcialist.com/]canada customs and cialis[/url] ’
能用自签名证书或者Let’s Encrypt 吗?授权要怎么安装?
自签名证书是可以的,只要将证书导出为PFX格式,
我发现ipv6的端口都没有封,可以用ipv6+ddns来使用远程桌面吧,我在其他系统都是这样来访问的,就是无法访问pve的ipv6控制面板
我发现ipv6的端口都没有封,可以用ipv6+ddns来使用远程桌面吧,我在其他系统都是这样来访问的,就是无法访问pve的控制面板
用个nginx 反向代理pve面板就行
太牛了,可是看不懂