远程桌面服务

 

l 远程桌面协议（Remote desktop protocol )，简称RDP

l 远程桌面服务（Remote desktop services），简称：RDS

1.远程用户实现远程的控制和管理。

2.可以为每个远程访问的用户提供独立的操作进程，而且每个用户之间不相互干扰，为公司节约了成本。

3.在2008R2中，操作系统安装好后，系统就默认提供了远程桌面服务的核心服务。如下图

4.默认情况下，远程桌面服务只能有2个访问连接,如果想要更多的连接，需要购买微软的RDS CAL。

注意以上的2个包含了本地登录，也就是说本地登录了，那么远程访问就只能再连接一个。

5.RDS使用RDP协议，TCP 3389端口。

6.RDP协议可以通过证书加密来保证连接的安全。

7.掌握普通2008的远程桌面，和域控制的远程桌面，域控制就是要把Remote desktop users添加下。

8..在2000系统的terminal service，就是现在的远程桌面服务。

n 如果单位有N台机器需要远程桌面我们可以使用如下方法

? 解决远程桌面的证书问题。

因为远程桌面使用了自签名证书，然而自签名的证书不被任何客户端信任，因此你远程桌面连接到服务器会比较慢，并且和服务器的远程桌面没有加密存在一定的安全隐患。

要解决这个问题就是搭建CA，然后申请证书，当然了客户端要信任证书颁发机构。

我网络拓扑如下图

步骤一：安装企业CA，这部分不阐述。

步骤二：申请证书

? IIS管理器-“功能视图”—“服务器证书”

? 创建申请文件

? 注意通用名称

? 默认即可

? 填写申请文件名和保存地点，完成申请文件的创建。

? 申请证书

? 高级申请

? 提交申请文件

? 填写申请的文件（即拷贝刚才的的申请文件然后复制进去），注意一定要选择web服务器然后提交。

? 下载证书，下面的证书链是用来信任证书颁发机构的，因为我是域，域根据组策略里面自动信任。

? 安装证书，点击“完成证书申请”—浏览到刚才下载的证书，确定即可。

? 完成后效果

? 设置远程桌面加密，在证书处选择刚申请的证书。

? 测试远程桌面加密，如下图远程桌面处显示了“一把锁”。实验成功。

小节:以上我的实验是在域环境进行的，实验起来还是挺简单的，还有一点我上面申请的证书有点麻烦了，以上申请证书适用工作组，因为我是域环境其实可以直接如下申请证书。

? 创建域证书

? 填写信息

? 选择证书颁发机构

? 随意填写个好记的名称，这样就完成了申请web证书很方便。

n 公网用户远程桌面到公司服务器，解决证书加密问题。

网络拓扑如下

整体思路：

防火墙端口映射到RDS，公网用户信任CA，CA发布吊销列表：使用HTTP协议。

步骤一：搭建域，安装企业CA,不阐述。

步骤二：2008RDS加入域，安装IIS，启用远程桌面，申请web服务器证书，配置远程桌面使用web服务器证书，允许Bob远程桌面连接RDS不阐述。

步骤三：防火墙我用2008的NAT。

? 添加角色—网络策略和访问服务

? 远程路由和远程访问

? 完成后启用路由和远程访问

? 设置端口映射，勾选远程桌面

? 映射到内部RDS,确定完成远程桌面的映射。

步骤四：Bob信任CA证书颁发机构

? 防火墙80端口映射到CA,让客户进行信任CA,不阐述。

? Bob远程桌面RDS,报如下错误，这个要注意。

为什么会把这个错呢？原因是这样的bob检查证书中吊销列表，而吊销列表是通过证书中的CRL的分发点来获得地址，如下图

从上图可知CRL是ldap，这是真对域里面，但是我BOB是工作组，那怎么办呢？

解决方法如下

? 在证书颁发机构中使用http来发布CRL,这样公网上的客户端就可以http来访问到CRL。

? 重启证书服务

? 因为更新了CA的属性，那么我们就要手动发布下CRL

? 2008-RDS服务器重新申请下证书，不阐述，完成后如下图，多了http形式的。

? 远程桌面重新选择证书

? 公网工作组的bob想用证书中的FQDN名2008RDS.abc.com进行访问2008RDS

我利用hosts文件进行把2008RDS.abc.com解析到防火墙的OUT网卡

因为bob要检查证书中的吊销列表，前面我们添加了吊销列表通过http访问，因此bob访问这个证书吊销列表的地址也必须要解析到防火墙的OUT网卡

? 测试公网工作组的bob访问2008RDS

实验完美成功。呵呵

--------次文档由联科教育( http://www.iLync.cn)学员 莫振华原创提供，如有问题请咨询我们的专家团队！-----