Remote App公网发布,在前面的博文中我们已经让内网的客户端可以通过Web访问到我们发布的Remote App(远程应用程序),那么在本次博文中我们就希望公网的客户端回到家后仍然客户访问到。在本次博文中我们就结合了远程桌面的网关服务器,当企业内部有多台RDS服务器给用户提供访问的时候,远程桌面网关服务器就给用户提供了一个统一访问的入口,也就是说公司用户通过443端口先连接到远程桌面网关服务器,然后由远程网关服务器去访问企业内部的RDS服务器,当网关服务器访问企业内部的RDS服务器的时候使用的是3389端口,而网关服务器到用户端是443端口,这样就保证用户远程访问RDS服务器的安全
网络拓扑如下图,四台RD服务器均加入域,其实我们可以把RD Gateway和RD Web安装在一台服务器上,但本实验中我就分开安装
本来想用TMG的可惜TMG实验的时候出现了很多问题,顾防火墙用2003的路由和远程防火充当基本的防火墙和NAT,注意2003的Wan有两个IP地址:192.168.0.20/21,为什么要两个IP地址,实验思路中有说明
实验目标:peter在公网通过在网页中输入rdweb.abc.com访问到企业内部的RDS服务器上发布的应用程序
实验思路:
1.CA发布证书发布证书吊销列表,请参考博文http://jqq1982.blog.51cto.com/515663/990685,具体说下为什么要这样做,因为域中的客户端可以通过ldap协议轻松的访问到证书吊销列表,但是对于公网上的客户端,他们在非域环境中,就需要使用http协议来访问到证书吊销列表,因此我们需要做这个操作
2.08Server02和08Server03安装 远程桌面会话主机,然后安装应用程序QQ和YY
3.QQ 和YY的应用程序挂载到08Server05中,在上一篇博文中有过相应的实验
4.08Server04和08Server05分别安装Remote Web Access,Remote Gateway
5.Remote Web Access ,Remote Gateway分别向CA申请证书
6.08Server02和08Server03远程桌面会话主机必须配置远程桌面网关IP地址,因为我们前面把RD会话主机和Remote Access的Web进行挂载(也就是让Web网页中有了网关的IP地址),所以公网的客户端访问RD Web Access后,双击应用程序后就连接到远程桌面的网关服务器,然后由远程桌面网关服务器访问到后台远程桌面会话主机
7.2003充当基本的路由和防火墙,因为客户端访问RD Web是443而客户端连接到RD gateway也是443,顾Wan口需要两个公网IP地址分别映射443端口给DMZ区的RD Web和RD gateway
8.测试公网客户端访问是否成功,注意点公网的客户端必须信任证书颁发机构,否则无法访问RD Web
1.查看证书吊销列表
如下图,08Server01是域中的DC/DNS/CA,安装完企业CA后在证书颁发机构中发布了http的证书吊销CRL
2.查看应用程序的发布
如下图,08Server02上我安装了RD会话主机,并且添加Remote App程序 QQ
如下图,08Server03上安装了RD会话主机,添加Remote App程序YY
3.QQ和YY挂载到08Server05(RD Web Access)
如下图,我们把安装了RD Web的计算机添加到RD主机08Server02的 “TS Web Access Computer”组中
如下图,同样的把安装了RD Web的主机添加到了08Server03的“TS Web Access Computer”组中
在08Server05中打开“远程桌面Web访问配置”
输入域管理员进行登录
在配置中输入了两台安装了RD会话主机的FQDN名
输入完成后,我们就可以看到我们添加的Remote App程序YY和QQ
4.08Server04上安装RDGateway也十分简单,但是安装前必须先申请一张Web服务器证书
如下图,我已经实验创建域证书向导把该证书申请完毕
证书申请完成后,在服务器管理器中选择添加“角色”选择“远程桌面服务”
远程“远程桌面网关”,安装的时候选择我们申请的证书然后一路下一步完成安装
我们在内网的一台域客户端win701上通过RDGateway连接下08Server02,因为08Server02安装了RD会话主机默认已经开放了3389的远程桌面
我们选择“高级”,选择“设置”
如下图,选择“使用这些RD网关服务器设置”输入app.abc.com,这里的app.abc.com的域名我已经在DNS中注册了A记录,并且我们网关申请证书的时候的公用名称也必须填写该域名
选择连接后弹出,如下视图,我们可以很清楚的知道当我们填写RDGateway之后会优先连接到RDGateway然后连接到我们08Server02
如下图,域中的客户端win701通过网关连接到了08Server02,这说明我们我们的RDGateway应该没有问题
我们在内网再测试下RD Web Access,如下图在win701的IE中输入https://rdweb.abc.com/RDWeb ,注意我们在给RDWeb申请证书的时候,名称也必须是rdWeb.abc.com,也就是说我们输入的域名要和证书上的公用名称相匹配
如下图,win701访问RD Web Access也没有什么问题
5.RDWeb和RDGateway向CA申请证书我已经搞定了,视图如下且都是通过IIS中创建域证书向导来完成的
如下图,08Server05向CA申请的证书,公用名称是:RDWeb.abc.com
如下图,08Server04向CA申请的证书,公用名称是:app.abc.com
如下图,DC的DNS中给他们创建了A记录
6.在RD会话主机中填写RD网关
如下图,08Server02填写了RD网关为app.abc.com,这个app.abc.com是我们给网关申请证书时候的公网名称,这个app.abc.com在DNS注册了网关IP地址
如下图,08Server03也填写了RD网关
7.2003充当基本的路由和防火墙,因为客户端访问RD Web是443而客户端连接到RD gateway也是443,顾Wan口需要两个公网IP地址分别映射443端口给DMZ区的RD Web和RDGateway
如下图,2003有3个网络
如下图,按我们选择启用NAT的时候默认会选择基本的防火墙,然后NAT的话当然是在Wan口上
因为外网的用户首先打开网页通过433端口连接到RDWeb,然后用户在通过443端口连接到RDGateway帮我们连接到企业内网的RD会话主机,因此需要两个公网地址分别映射到RDWeb的443和RDGateway的443,我们在Wan口上再添加一个IP地址192.168.0.21
在地址池中进行添加192.168.0.20---192.168.0.21
如下图,我们把地址192.168.0.20映射给RDGateway
如下图,我们把地址192.168.0.21映射给RDWeb
完成后视图如下
这样我们就完成了地址端口映射问题
8.测试公网客户端的访问,注意点公网的客户端必须信任我们的企业CA颁发的证书
如下图,公网的客户端我已经把信任关系搞得了,如果不信任将无法打开RDWeb网页
如下图,我们修改公网客户端的hosts文件
如下图,公网的客户端输入https://rdweb.abc.com/RDWeb,然后输入域用户名和密码
如下图,公网的客户端成功访问到YY和QQ
如下图,当公网的客户端点击QQ的时候弹出了如下视图,也就是说首先会连接到网关服务器,然后由网关服务器连接到企业内部的08Server02.abc.com,在08Server02上我们是安装QQ的
选择连接后要求输入域用户名和密码
如下图,弹出证书问题,因为QQ和YY的RD会话主机上的证书都是使用的自签名证书,关于如何解决RD会话主机的证书问题见链接:http://ksyiwen.blog.51cto.com/2754337/1331174,这里我们选择“是”
如下图,QQ启动成功
以上,我们就完成了Remote App的公网发布。
