詳析網(wǎng)關(guān)管理機(jī)制

河南 劉進(jìn)京

RD 網(wǎng)關(guān)的作用

對于內(nèi)網(wǎng)用戶來說，當(dāng)其訪問虛擬應(yīng)用程序或者虛擬桌面時，會直接使用TCP/UDP 3389 端口和相關(guān)主機(jī)建立RDP 連接。對于外部用戶來說，必須利用SSL 協(xié)議和RD 網(wǎng)關(guān)的TCP 443 端口建立安全連接，會通過證書進(jìn)行加密。RD 網(wǎng)關(guān)再和內(nèi)部遠(yuǎn)程桌面服務(wù)器之間建立RDP 連接，這樣，就可以有效保護(hù)內(nèi)部的虛擬資源，而無需將其發(fā)布到外部網(wǎng)絡(luò)。

RD 網(wǎng)關(guān)會部署到DMZ 區(qū)域，其基本的單位稱為遠(yuǎn)程桌面的Farm（即服務(wù)器場），在一個Farm 中可以包含一臺或者多臺網(wǎng)關(guān)服務(wù)器，可以實(shí)現(xiàn)負(fù)載均衡。當(dāng)遠(yuǎn)程用戶連接到RD 網(wǎng)關(guān)后，試圖訪問內(nèi)網(wǎng)資源時，會收到RD 網(wǎng)關(guān)策略的管控。RD 網(wǎng)關(guān)的策略包括CAPs（即Client Authorization Policies）和 RAPs（即 Resource Authorization Policies）兩種類型。

對于前者來說，指的是客戶端授權(quán)策略，可以設(shè)置哪些用戶和計算機(jī)可以進(jìn)行連接，哪些則不能連接等。對于后者來說，指的是資源授權(quán)策略，可以設(shè)置合規(guī)的用戶可以訪問哪些資源，例如只能訪問Remore App 程序等。利用上述策略，管理可以對用戶訪問進(jìn)行精準(zhǔn)的控制，讓特定的用戶只能訪問指定的資源。此外，管理員還可以使用RD 網(wǎng)關(guān)，從外部連接到內(nèi)部的服務(wù)器，對其進(jìn)行有效管理。

配置所需的證書

在DC 上打開證書頒發(fā)機(jī)構(gòu)窗口，在左側(cè)選擇“證書模版”項，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“管理”項，在打開窗口中選擇“Web 服務(wù)器”模版，在右鍵菜單上點(diǎn)擊“復(fù)制模版”項，在新模版屬性窗口（如圖1）中的“常規(guī)”面板中輸入名稱（例如“RDS Certifacation”），在“請求處理”面板中選擇“允許導(dǎo)出私鑰”項，在“使用者名稱”面板中選擇“在請求中提供”項，點(diǎn)擊“安全”面板中點(diǎn)擊“添加”按鈕，輸入“Domain Computers”，添加該組。

圖1 設(shè)置證書模版屬性

當(dāng)然，為了實(shí)現(xiàn)更加精準(zhǔn)的控制，可以在活動目錄中創(chuàng)建新的組（例如“RemoteDesktop Servers”等），將和遠(yuǎn)程桌面相關(guān)的服務(wù)器移動到該組中，之后將該組添加進(jìn)來。選擇上述組，在權(quán)限列表中農(nóng)的“注冊”行選擇“允許”項，允許該組中的主機(jī)來申請證書。在證書頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇“證書模版”項，在右側(cè)的彈出菜單中選擇“新建”-“要頒發(fā)的證書模版”項，選擇上述模版，點(diǎn)擊確定按鈕，將其發(fā)布出去。

執(zhí)行“mmc”程序，在控制臺窗口中點(diǎn)擊菜單“文件”-“添加/ 刪除管理單元”項，在列表中選擇“證書”項，點(diǎn)擊“添加”按鈕，選擇“計算機(jī)賬戶”項，將其添加進(jìn)來。在控制臺左側(cè)選擇“證書”-“個人”-“證書”項，在右側(cè)空白處點(diǎn)擊右鍵，在彈出菜單中選擇“所有任務(wù)”-“申請新證書”項，在向?qū)Ы缑嬷羞x擇“Active Directory 注冊策略”項，點(diǎn)擊下一步按鈕，選擇上述證書模版。

點(diǎn)擊“注冊此證書需要詳細(xì)信息，單擊這里以配置設(shè)置”項，在證書屬性窗口中的“使用者名稱”列表中選擇“公用名”項，在“值”欄中輸入“rdgw.xxx.com”，點(diǎn)擊“添加”按鈕將其添加到右側(cè)列表中。對于RD 網(wǎng)關(guān)來說，主要提供給外部用戶使用，因此需要針對外部用戶設(shè)置所需的DNS 名稱。在“備用名稱”列表中選擇“DNS”項，在“值”欄中輸入“rdgw.xxx.com”。點(diǎn)擊“添加”按鈕將其導(dǎo)入進(jìn)來。注意，該地址需要在公網(wǎng)的DNS 中指定好，上述兩個名稱必須一致。點(diǎn)擊確定按鈕，在上級窗口中點(diǎn)擊“注冊”按鈕，后去所需的證書。選擇該證書，在其右鍵菜單上點(diǎn)擊“導(dǎo)出”項，在向?qū)Т翱谥羞x擇“是，導(dǎo)出私鑰”項，點(diǎn)擊下一步按鈕，選擇“密碼”項輸入密碼，之后將其導(dǎo)出為獨(dú)立的文件（后綴為“.pfx”）。

部署和配置RD 網(wǎng)關(guān)

登錄到域中某臺服務(wù)器上，在服務(wù)器管理器中左側(cè)選擇“遠(yuǎn)程桌面服務(wù)”項，在打開窗口中的“部署概述”欄中點(diǎn)擊“添加RD 網(wǎng)關(guān)”按鈕，在向?qū)Ы缑嬷械摹胺?wù)器池”列表中選擇一臺或者多臺服務(wù)器，來組成RD 網(wǎng)關(guān)服務(wù)器場。

例如這里選擇“RDgw1”和“RDgw2”兩臺服務(wù)器，點(diǎn)擊下一步按鈕，即可對選定的服務(wù)器進(jìn)行連接。在“SSL證書名稱(使用RD 網(wǎng)關(guān)服務(wù)器的外部FQDN)”欄中輸入RD 網(wǎng)關(guān)證書名稱（例如“rdgw.xxx.com”）。該證書提供給外部用戶使用。

圖2 為RD 網(wǎng)關(guān)配置證書

因?yàn)槭褂昧藘膳_RD 網(wǎng)關(guān)服務(wù)器，可以實(shí)現(xiàn)負(fù)載和均衡，所以這即是其Load Balance 名稱。在下一步窗口中點(diǎn)擊“添加”按鈕，即可在上述服務(wù)器上安裝RD 網(wǎng)關(guān)的角色。這里為了簡單起見，使用DNS 輪詢的方式，來實(shí)現(xiàn)RD 網(wǎng)關(guān)的負(fù)載均衡。事先以管理員身份登錄到DC 上，在DNS 管理器窗口左側(cè)選擇“DNS”-“DC”-“正向查找 區(qū)域”-“xxx.com”項，在其右鍵菜單上依次點(diǎn)擊“新建主機(jī)”項，新建兩條記錄，其名稱相同（例如“rdgw”），IP 分別為上述兩臺RD 網(wǎng)關(guān)服務(wù)器的地址。

當(dāng)網(wǎng)關(guān)角色安裝之后，點(diǎn)擊“配置證書”項，在配置部署窗口（如圖2）中選擇“RD網(wǎng)關(guān)”項，點(diǎn)擊“選擇現(xiàn)有證書”按鈕，選擇“選擇其他證書”項，點(diǎn)擊瀏覽按鈕，選擇上述導(dǎo)出的證書，輸入導(dǎo)出的密碼，選擇“允許向目標(biāo)計算機(jī)上受信任的根證書頒發(fā)機(jī)構(gòu)證書存儲中添加證書”項，點(diǎn)擊應(yīng)用按鈕，即可為RD網(wǎng)關(guān)服務(wù)器配置證書。

在服務(wù)器管理器中打開遠(yuǎn)程桌面服務(wù)窗口，在“部署概述”欄的右側(cè)列表中選擇“編輯部署屬性”項，在配合部署窗口左側(cè)選擇“RD 網(wǎng)關(guān)”項，在右側(cè)確保選擇“使用這些RD 網(wǎng)關(guān)服務(wù)器設(shè)置”項，檢查服務(wù)器名稱是否正確。如果取消“繞過本地地址的RD 網(wǎng)關(guān)服務(wù)器”項的選擇狀態(tài)，那么內(nèi)網(wǎng)的而用戶也必須使用RD 網(wǎng)關(guān)，來訪問遠(yuǎn)程桌面資源。

使用RD 網(wǎng)關(guān)進(jìn)行訪問

從外網(wǎng)某臺客戶機(jī)上打開瀏覽器，訪問“http://rdwa.xxx.cpm/rdweb”之類的地址，來連接遠(yuǎn)程桌面的Web 訪問服務(wù)器，輸入合適的域賬戶名稱和密碼，點(diǎn)擊登錄按鈕，進(jìn)入遠(yuǎn)程桌面資源管理界面，在“RemoteApp 和桌面”窗口中選擇某個虛擬桌面，在連接面板中的“網(wǎng)關(guān)服務(wù)器”欄中顯示上述RD網(wǎng)關(guān)主機(jī)的域名。點(diǎn)擊連接按鈕，輸入正確的用戶名和密碼，就可以進(jìn)入該虛擬桌面環(huán)境中。在客戶機(jī)上打開CMD 窗口，執(zhí)行“netstat-an”命令，在網(wǎng)絡(luò)連接列表中可以看到，本機(jī)已經(jīng)和RD網(wǎng)關(guān)的TCP 443 接口之間建立了的可靠連接。

圖3 在遠(yuǎn)程連接中設(shè)置RD 網(wǎng)關(guān)信息

進(jìn)入該虛擬桌面，在CMD窗口執(zhí)行“netstat -an”命令，可以看到該虛擬桌面也和RD 網(wǎng)關(guān)連接了SSL 連接。可以看出，RD 網(wǎng)關(guān)服務(wù)器可以很好的保護(hù)內(nèi)網(wǎng)資源的安全。登錄到某臺RD 網(wǎng)關(guān)服務(wù)器，打開遠(yuǎn)程桌面網(wǎng)關(guān)管理器，在左側(cè)選擇當(dāng)前的網(wǎng)關(guān)服務(wù)器，在右側(cè)的“連接總數(shù)”欄中顯示連接主機(jī)數(shù)量。點(diǎn)擊“監(jiān)視使用中的連接”項，會顯示詳細(xì)的連接信息，包括連接ID、用戶ID、用戶名、連接時間、連接時段、目標(biāo)計算機(jī)、客戶端IP 等內(nèi)容。

對于網(wǎng)管人員來說，希望直接連接到后臺服務(wù)器，對其進(jìn)行管理操作、對于遠(yuǎn)程桌面架構(gòu)來說，只會將RD Web 訪問服務(wù)和RD 網(wǎng)關(guān)發(fā)布出去，讓外部的用戶進(jìn)行連接，對于這兩個服務(wù)來說，其使用的都是TCP 443 端口。例如管理員出差在外，想對內(nèi)網(wǎng)中的資源進(jìn)行管理，可以運(yùn)行“mstsc.exe”程序，在遠(yuǎn)程桌面連接窗口底部點(diǎn)擊“選項”項，在“高級”面板中點(diǎn)擊“設(shè)置”按鈕，在打開窗口（如圖3）中選擇“使用這些RD 網(wǎng)關(guān)服務(wù)器設(shè)置”項，輸入RD 網(wǎng)關(guān)的名稱或地址。

如果使用的憑據(jù)一致的話，可以選擇“將我的RD 網(wǎng)關(guān)憑據(jù)用于遠(yuǎn)程計算機(jī)”項。當(dāng)再次連接時，會提示輸入正確的憑據(jù)信息，之后先連接到RD 網(wǎng)關(guān)服務(wù)器，之后才會連接到內(nèi)網(wǎng)中的目標(biāo)主機(jī)，當(dāng)然該主機(jī)必須開啟TCP 3389 端口。

配置RD 網(wǎng)關(guān)授權(quán)策略

對于外部用戶來說，之所以可以順利連接RD 網(wǎng)關(guān)，來使用虛擬桌面等資源，是因?yàn)镽D 網(wǎng)關(guān)的默認(rèn)策略在發(fā)揮作用。

登錄到某臺RD 網(wǎng)關(guān)服務(wù)器上，在RD 網(wǎng)關(guān)管理器左側(cè)選擇“策略”-“連接授權(quán)策略”項，在右側(cè)顯示默認(rèn)的名為“RDG_CAP_AllUsers”的策略，該策略讓域中“Domain Users”組中的用戶，都有權(quán)限連接到RD 網(wǎng)關(guān)服務(wù)器。

在左側(cè)選擇“策略”-“資源授權(quán)策略”項，在右側(cè)也會顯示相關(guān)的默認(rèn)策略，允許上述組中的用戶連接到域中名為“Domain Conputer”的OU 中的所有開啟了TCP 3389 端口的主機(jī)。

圖4 創(chuàng)建連接授權(quán)策略

為了實(shí)現(xiàn)精準(zhǔn)的控制，可以左側(cè)選擇“策略”-“連接授權(quán)策略”項，在右側(cè)點(diǎn)擊“新建策略”-“自定義”項，在打開窗口（如圖4）中輸入策略的名稱（例如“rdgwpolicy1”），在“要 求”面板中的“用戶組成員身份”欄中點(diǎn)擊“添加組”按鈕，在選擇組窗口中輸入合適的組名（例 如“Doamin Admins”等），點(diǎn)擊確定按鈕，將該組添加進(jìn)來。在“客戶端計算機(jī)組成員身份”欄中點(diǎn)擊“添加組”按鈕，輸入合適的計算機(jī)組的名稱，將其添加進(jìn)來。

這樣，只有指定組中的用戶，使用指定組中的計算機(jī)才可以順利的連接RD 網(wǎng)關(guān)，其余的用戶將被拒絕。

在“設(shè)備重定向”面板中如果選擇“禁用以下客戶端設(shè)備類型的設(shè)備重定向”項，可以根據(jù)實(shí)際需要，選擇禁用的重定向設(shè)備，包括驅(qū)動器、剪貼板、打印機(jī)、端口、支持的即插即用設(shè)備等。在“超時”面板中選擇“啟用空閑超時”項，輸入斷開會話連接前的空閑時間，默認(rèn)為120分鐘。這樣，如果當(dāng)客戶端連接到RD 網(wǎng)關(guān)后，在預(yù)設(shè)的時間內(nèi)沒有任何操作，則連接會被自動斷開。

點(diǎn)擊確定按鈕，保持該策略。對于默認(rèn)的策略來說，可以點(diǎn)擊右側(cè)的“禁用”按鈕，將其禁用掉。

在左側(cè)選擇“策略”-“資源授權(quán)策略”項，在右側(cè)點(diǎn)擊“新建策略”-“自定義”項，在打開窗口中輸入策略的名稱（例如“zypoy”），在“用戶組”面板中添加合適的用戶組。

在“網(wǎng)絡(luò)資源”面板中選擇“選擇Active Directory域服務(wù)網(wǎng)關(guān)資源組”項，點(diǎn)擊瀏覽按鈕，選擇一個或者多個合適的組（需要在活動目錄中預(yù)先配置，在其中添加RD 會話主機(jī)等服務(wù)器）。對于沒有加入到域中的主機(jī)來說，可以選擇“選擇現(xiàn)有RD網(wǎng)關(guān)管理的組或創(chuàng)建新組”項，點(diǎn)擊瀏覽按鈕，在打開窗口中點(diǎn)擊“創(chuàng)建新組”按鈕，創(chuàng)建新的組，輸入工作組中的主機(jī)IP 將其添加進(jìn)來即可。點(diǎn)擊確定按鈕，創(chuàng)建該策略。

按照該方法，可以創(chuàng)建多個資源授權(quán)策略。這樣，只有符合條件的用戶，才可以訪問指定的資源。

配置RD 網(wǎng)關(guān)服務(wù)器屬性

因?yàn)檫@里使用了多臺RD網(wǎng)關(guān)，實(shí)現(xiàn)了其高可用性。所以需要登錄到其他的RD服務(wù)器上，添加相同的策略并禁用默認(rèn)的策略。當(dāng)然，對于RD 網(wǎng)關(guān)服務(wù)器場來說，每次修改策略都需要手工在每臺服務(wù)器上設(shè)置的話，操作起來是比較繁瑣的。

可以在其中任意一臺服務(wù)器上打開RD 網(wǎng)關(guān)管理器，選擇“策略”-“連接授權(quán)策略”項，在右側(cè)點(diǎn)擊“配置中心 RD CAP”項，在RD 網(wǎng)關(guān)屬性窗口中的“RD CAP 存儲”面板中選擇“運(yùn)行NPS 的中心服務(wù)器”項，輸入目標(biāo)NPS服務(wù)器的地址，點(diǎn)擊“添加”按鈕，將其添加進(jìn)來。這樣，將RD 網(wǎng)關(guān)和NPS（網(wǎng)絡(luò)訪問保護(hù)）角色結(jié)合起來，將不同RD 網(wǎng)關(guān)服務(wù)器的授權(quán)策略集中保存到指定的NPS 服務(wù)器上。只要在任何一臺RD 網(wǎng)關(guān)服務(wù)器上修改了策略，都會自動同步到所有的RD 網(wǎng)關(guān)服務(wù)器上。

對于資源授權(quán)策略來說，是無法集中管理和同步的。在“常規(guī)”面板中可以根據(jù)需要，設(shè)置允許連接的最大數(shù)量。

在“傳輸設(shè)置”面板中的“HTTP 傳輸設(shè)置”欄中可以選擇指定的IP（如果配置了多塊網(wǎng)卡的話），修改HTTPS端口（默認(rèn)為TCP 443）。

選擇“啟用UDP 傳輸”項，可以啟用優(yōu)化傳輸功能，設(shè)置所需的UCP 端口（默認(rèn)為UDP 3391），當(dāng)用戶連接成功后，可以使用該UDP 端口傳輸數(shù)據(jù)，這適用于網(wǎng)絡(luò)傳輸環(huán)境較差的情形。

在“服務(wù)器場”面板中可以添加所有RD 網(wǎng)關(guān)服務(wù)器，組成服務(wù)器場，并且可在列表中直接查看狀態(tài)信息。