Windows Server 2008 RemoteApp(七)---TMG发布远程桌面网关服务器
通过TMG发布远程桌面网关服务器,使防火墙以外的客户端能够轻松通过远程桌面网关服务器连接到局域网内部的远程桌面服务器,以及使用RemoteApp应用程序
1.导出远程桌面网关服务器上的证书
在bjrdgw上打开MMC控制台选择证书,在右键菜单中选择【所有任务】-【导出】
注意一定要导出私钥,设置密码
选择导出路径
2.在TMG上导入证书
导入CA根证书,确保TMG对内部CA的信认
3.新建Web侦听器
首先新建一个侦听443端口的Web侦听器
打开TMG控制台,在最在侧【工具箱】-【网络对象】新建一个Web侦听器
指定Web侦听器名称
选择【需要与客户端建立SSL安全连接】
选择侦听网络为【外部】,IP地址选择【222.16.2.1】
选择证书,就是之前导入的bjrdgw
选择【没有身份验证】
完成后来建第二个侦听80端口的Web侦听器,在发布证书吊销列表时会用到
选择【不需要与客户端建立SSL安全连接】
4.发布远程桌面网关服务器
在【防火墙策略】上右键选择【新建】-【网站发布规则】
指定规则名称
选择【允许】
选择【发布单个网站或负载平衡器】
选择【使用SSL连接到发布的Web服务器或服务器场】
输入内部远程桌面网关服务器的FQDN 【bjrdgw.zf.com】
输入路径【/*】,表示发布整个网站
输入公用名称,公用名称代表客户端提交的域名
选择Web侦听器,这里要选择【lis443】
远程桌面网关服务器存在身份验证,这里的身份验证委派要选择【无委派,但是客户端可以直接进行身份验证】
选择【所有用户】
完成远程桌面网关服务器的发布
5.发布证书吊销列表
重复的不在截图了
选择“允许”
选择“发布单个网站或负载平衡器”
选择“使用不安全的连接连接发布的Web服务器或服务器场”
输入内部CA服务器的FQDN 【bjdc.zf.com】
输入路径“/*”
输入公用名称
选择Web侦听器【lis80】
选择【无委派,客户端无法直接进行身份验证】
选择【所有用户】
完成创建
6.测试远程桌面连接
确保以下三个公网域名能解析222.16.2.1
bjrdgw.zf.com
bjrd.zf.com
bjdc.zf.com
确保外部客户端信认CA证书颁发机构
在外部这台客户端上打开远程桌面连接,在【常规】选项卡输入计算机名和用户名,计算机名为内部远程桌面服务器的名称
切换到【高级】选项卡,打开【设置】
指定远程桌面网关服务器【bjrdgw.zf.com】
设置完成后连接,输入凭据,这里用内部域账号密码
成功连接到内部远程桌面服务器,说明TMG成功发布了远程桌面网关服务器
整个过程就是外部客户端向TMG发出连接请求,TMG将请求转发到DMZ区的远程桌面网关服务器,远程桌面网关服务器再将连接重定向到内部远程桌面服务器上
还是通过CMD来验证一下
用netstat -n查看客户端连接状态,可以看到客户端连接的是TMG外网IP222.16.2.1上的443端口
接下来测试从外部客户端访问RemoteApp应用程序
在远程桌面服务器bjrd上按图打开【RD网关设置更改】项
切换到【RD网关】,选择【使用这些RD网关服务器设置】,输入RD网关服务器 【bjrdgw.zf.com】
重新将已经发布的Excel生成.rdp包
发布后将rdp文件复制到外部客户端上运行
输入用户名密码
成功打开了Excel
7.发布远程桌面Web服务
还是防火墙策略中新建Web发布规则
选择【允许】
选择【发布单个网站或负载平衡器】
选择【使用SSL连接到发布的Web服务器或服务器场】
输入内部远程桌面服务器的FQDN 【bjrd.zf.com】
输入路径【/*】
输入公用名称
选择Web侦听器【lis443】
身份验证委派选择【无委派,但是客户端可以直接进行身份验证】
选择【所有用户】
完成创建
在外部客户端IE中输入 https://bjrd.zf.com/rdweb 可以成功访问远程桌面Web服务,输入凭据进入
从页面中运行word,点击【连接】
成功打开word
