在 Windows Server 上安装远程桌面网关

远程桌面网关是 Windows Server 上的远程桌面服务角色，用于通过 HTTPS 网关从 Internet 提供对远程桌面和已发布 RemoteApp 的安全访问。具有 RD 网关角色的服务器充当外部 RDP 客户端和内部 RD 服务之间的中介。使用 RDGW 时，用户无需配置 VPN 即可连接到企业网络中的 RDS。使用标准远程桌面连接客户端 (mstsc.exe) 进行连接。在本文中，我们来看看如何在 Windows Server 2019 上部署远程桌面网关（该指南也适用于 Windows Server 2022/2016 和 2012 R2）。

在 Windows Server 上部署 RDS 网关角色

远程桌面网关服务是可选的 RDS 场组件，因此您必须单独安装它。大多数情况下，建议使用专用服务器来部署 RDGW 或将其与 RD Web Access 结合使用。

假设您的网络中已部署 Active Directory 和 RDS 场。

您可以通过服务器管理器（添加角色和功能 -> 服务器角色 -> 远程桌面服务）或使用 PowerShell 安装远程桌面网关角色。

安装 RDGW 服务时，还会安装 IIS Web 服务器和 NPS（网络策略服务器）角色。

确保已安装 RDS 网关角色：

Get-WindowsFeature RDS*

或者使用 Install-WindowsFeature 命令在 Windows Server 上安装角色：

Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

使用 ADUC (dsa.msc) 控制台或 PowerShell 在 Active Directory 中创建访问组：

• rdgwExtUsers - 允许在 RDGW 上进行身份验证的一组用户；

• rdgwExternalAdmins - 通过 RDGW 访问内部 RDS 主机的组；

• mun-rdsfarm — 必须包括您希望允许通过远程桌面网关连接的所有 RDS 主机和 RD 连接代理

配置远程桌面网关授权策略

RD 网关管理器 (

tsgateway.msc

）控制台用于管理RDGW授权策略和访问规则，这里配置两类策略：

• 连接授权策略 (RD CAP) - 设置允许在 RDS 网关上进行身份验证的人员；

• 资源授权策略 (RD RAP) - 指定内部网络上允许通过 RDGW 连接的用户和资源（计算机）。

首先创建 RD CAP：

1. 展开策略 -> 连接授权策略并选择创建新策略 -> 向导；

2. 输入策略名称（rdgwExtUsers）；

3. 选择身份验证类型（密码和/或智能卡）并指定允许在 RDGW 上进行身份验证的一组用户；

   

4. 在“启用或禁用设备重定向”窗口中，您可以指定允许将哪些设备重定向到 RDP 会话（剪贴板、打印机、本地驱动器等）；

   

5. 然后您可以配置 RDP 会话的超时；

6. 确认策略的创建。

您还可以使用 PowerShell 创建 RDGW 连接策略：

Import-Module -Name RemoteDesktopServices
New-Item -Path 'RDS:\GatewayServer\CAP' -Name 'rdgwAllowAutht-CAP' -UserGroups rdgwExtUsers -AuthMethod '1'

之后创建 RD RAP 策略：

1. 在RD网关管理控制台中，点击“策略”->“资源授权策略”，选择“创建新策略”->“向导”；

   

2. 输入策略名称：rdgwExternalAdmins；

3. 指定允许连接内部RDS资源的用户组名称；

   

4. 在网络资源选项卡上，指定允许外部用户连接到哪些 RDS 服务器 (mun-rdsfarm)；

   

5. 然后指定您想要允许连接的端口号。默认情况下，建议仅打开默认 RDP 端口 TCP/3389。但您也可以打开其他端口；

   

6. 政策已经准备好了。

您可以使用 PowerShell 添加此 RAP 规则：

New-Item -Path RDS:\GatewayServer\RAP -Name allowextAdminMunRDS -UserGroups [email protected] -ComputerGroupType 1 -ComputerGroup [email protected]

为远程桌面网关安装 SSL 证书

为了确保与 RDS 网关的连接安全，您必须在其上安装 SSL 证书。最好使用外部证书颁发机构 (CA) 颁发的商业证书。您还可以使用免费的 Let’s Encrypt SSL 证书（在 IIS 上为远程桌面网关配置 Let’s Encrypt 证书）或自签名 Windows SSL 证书，但请注意，外部客户端必须信任它。如果客户端不信任 RDGW 服务器上的证书，它将无法连接到网关（您可以手动或使用 GPO 将自签名 SSL 证书导入到客户端）。

必须在证书的使用者名称 (CN) 或使用者备用名称字段中指定 RDGW 服务器的 FQDN (DNS) 名称。它将用于外部客户端的连接（可从 Web 获取）。

1. 在 RD 网关控制台中打开 RDGW 服务器属性，然后转到 SSL 证书选项卡；

2. 在此示例中，我们使用自签名证书。选择创建自签名证书 -> 创建并导入证书；

   

3. 输入证书名称（您的客户端将使用此名称连接到 RDGW）并选择要将证书保存到的目录（将此证书分发到您的 RD 客户端）。

   

以下端口用于连接到 Windows Server 2019 上的 RDGateway：

• HTTPPort（默认）— 443 TCP

• UDPPort（默认）— 3391 UDP（使用 UDP 传输协议是可选的，但是，它可以显着提高 RDP 会话中的隧道性能和图像质量）。

请记住打开（转发）这些端口从您的公共 IP 到网络硬件上的 RDGW 主机。

打开 RDGW 管理器并确保没有错误并且所有项目都有绿色图标。

配置 RDP 客户端以使用 RDS 网关

然后，您可以配置远程桌面连接客户端以通过远程桌面网关连接到内部 RDS 主机。

如果您在 RDGW 上使用自签名证书，请将其放入客户端上的受信任根证书颁发机构。请参阅有关如何更新 Windows 上的根证书的文章。

1. 跑过

   mstsc.exe

   客户;

2. 在常规选项卡中，输入独立 RDS 主机、RDS 场或您想要通过 RDP 连接的计算机的名称（您还可以指定用户名并使用保存的 RDP 连接凭据）；

   

3. 然后转到高级选项卡，然后单击从任何地方连接（配置设置以在远程工作时通过远程桌面网关连接）部分下的设置；

4. 选择使用这些 RD 网关服务器设置并指定 RDGW 服务器的外部 DNS 名称（请注意，必须在证书中指定该名称）。如果您对 RDGW 使用不同的端口，请在服务器名称后面输入该端口，并用冒号分隔，例如，

   gw.a-d.site:4443

   .

   

5. 要防止在连接时输入两次密码，请选中选项使用远程计算机的 RD 网关凭据；

6. 单击“连接”并输入用户凭据以连接到 RD 网关服务器；

7. 客户端将与本地网络中的 RDS/RDP 主机建立连接；

8. 打开 RD 网关管理器，转到“监控”部分并确保您的客户端的连接显示在列表中。

   

如果您使用 RDCMan 进行 RDP 连接，则可以在GatewaySetting选项卡上设置 RD 网关参数。选中使用 TS 网关服务器并设置连接选项。

您可以在事件查看器中监视与 RDGW 的成功或失败连接（应用程序和服务日志 -> Microsoft -> Microsoft-Windows-TerminalServices-Gateway -> 操作）。

这些日志很有用，那么您需要分析 RDP 连接日志。

如果用户已成功连接到 RDGW，则终端服务网关源中将显示事件 ID 205。

The user "a-d\maxadmin", on client computer "xx.xx.xx.xx", successfully connected to the remote server "mun-rdsgw.a-d.site" using UDP proxy. The authentication method used was: "Cookie".

如果要通过 RD 网关运行 RemoteApps，请将以下行添加到 RemoteApp

*.rdp

文件：

gatewayhostname:s:gw.a-d.site
gatewayusagemethod:i:1

在本文中，我们展示了如何在 Windows Server 上配置远程桌面网关角色，以使用 RDP over HTTPS 实现对网络的安全远程访问。