l 遠端桌面協定(Remote desktop protocol ),簡稱RDP
l 遠端桌面服務(Remote desktop services),簡稱:RDS
1.遠端使用者實作遠端的控制和管理。
2.可以為每個遠端通路的使用者提供獨立的操作程序,而且每個使用者之間不互相幹擾,為公司節約了成本。
3.在2008R2中,作業系統安裝好後,系統就預設提供了遠端桌面服務的核心服務。如下圖
4.預設情況下,遠端桌面服務隻能有2個通路連接配接,如果想要更多的連接配接,需要購買微軟的RDS CAL。
注意以上的2個包含了本地登入,也就是說本地登入了,那麼遠端通路就隻能再連接配接一個。
5.RDS使用RDP協定,TCP 3389端口。
6.RDP協定可以通過證書加密來保證連接配接的安全。
7.掌握普通2008的遠端桌面,和域控制的遠端桌面,域控制就是要把Remote desktop users添加下。
8..在2000系統的terminal service,就是現在的遠端桌面服務。
n 如果機關有N台機器需要遠端桌面我們可以使用如下方法
? 解決遠端桌面的證書問題。
因為遠端桌面使用了自簽名證書,然而自簽名的證書不被任何用戶端信任,是以你遠端桌面連接配接到伺服器會比較慢,并且和伺服器的遠端桌面沒有加密存在一定的安全隐患。
要解決這個問題就是搭建CA,然後申請證書,當然了用戶端要信任證書頒發機構。
我網絡拓撲如下圖
步驟一:安裝企業CA,這部分不闡述。
步驟二:申請證書
? IIS管理器-“功能視圖”—“伺服器證書”
? 建立申請檔案
? 注意通用名稱
? 預設即可
? 填寫申請檔案名和儲存地點,完成申請檔案的建立。
? 申請證書
? 進階申請
? 送出申請檔案
? 填寫申請的檔案(即拷貝剛才的的申請檔案然後複制進去),注意一定要選擇web伺服器然後送出。
? 下載下傳證書,下面的證書鍊是用來信任證書頒發機構的,因為我是域,域根據組政策裡面自動信任。
? 安裝證書,點選“完成證書申請”—浏覽到剛才下載下傳的證書,确定即可。
? 完成後效果
? 設定遠端桌面加密,在證書處選擇剛申請的證書。
? 測試遠端桌面加密,如下圖遠端桌面處顯示了“一把鎖”。實驗成功。
小節:以上我的實驗是在域環境進行的,實驗起來還是挺簡單的,還有一點我上面申請的證書有點麻煩了,以上申請證書适用工作組,因為我是域環境其實可以直接如下申請證書。
? 建立域證書
? 填寫資訊
? 選擇證書頒發機構
? 随意填寫個好記的名稱,這樣就完成了申請web證書很友善。
n 公網使用者遠端桌面到公司伺服器,解決證書加密問題。
網絡拓撲如下
整體思路:
防火牆端口映射到RDS,公網使用者信任CA,CA釋出吊銷清單:使用HTTP協定。
步驟一:搭建域,安裝企業CA,不闡述。
步驟二:2008RDS加入域,安裝IIS,啟用遠端桌面,申請web伺服器證書,配置遠端桌面使用web伺服器證書,允許Bob遠端桌面連接配接RDS不闡述。
步驟三:防火牆我用2008的NAT。
? 添加角色—網絡政策和通路服務
? 遠端路由和遠端通路
? 完成後啟用路由和遠端通路
? 設定端口映射,勾選遠端桌面
? 映射到内部RDS,确定完成遠端桌面的映射。
步驟四:Bob信任CA憑證頒發機構
? 防火牆80端口映射到CA,讓客戶進行信任CA,不闡述。
? Bob遠端桌面RDS,報如下錯誤,這個要注意。
為什麼會把這個錯呢?原因是這樣的bob檢查證書中吊銷清單,而吊銷清單是通過證書中的CRL的分發點來獲得位址,如下圖
從上圖可知CRL是ldap,這是真對域裡面,但是我BOB是工作組,那怎麼辦呢?
解決方法如下
? 在證書頒發機構中使用http來釋出CRL,這樣公網上的用戶端就可以http來通路到CRL。
? 重新開機證書服務
? 因為更新了CA的屬性,那麼我們就要手動釋出下CRL
? 2008-RDS伺服器重新申請下證書,不闡述,完成後如下圖,多了http形式的。
? 遠端桌面重新選擇證書
? 公網工作組的bob想用證書中的FQDN名2008RDS.abc.com進行通路2008RDS
我利用hosts檔案進行把2008RDS.abc.com解析到防火牆的OUT網卡
因為bob要檢查證書中的吊銷清單,前面我們添加了吊銷清單通過http通路,是以bob通路這個證書吊銷清單的位址也必須要解析到防火牆的OUT網卡
? 測試公網工作組的bob通路2008RDS
實驗完美成功。呵呵
--------次文檔由聯科教育(http://www.iLync.cn)學員莫振華原創提供,如有問題請咨詢我們的專家團隊!-----