遠(yuǎn)程桌面服務(wù)是Windows Server 2008 R2中的一個(gè)角色服務(wù),它讓你可以將業(yè)務(wù)應(yīng)用的范圍擴(kuò)展到互聯(lián)網(wǎng)上。不用費(fèi)多大力氣,安裝到RDS服務(wù)器上的應(yīng)用幾乎就可以通過(guò)網(wǎng)絡(luò)連接交付到任意地點(diǎn)。
當(dāng)客戶(hù)端和服務(wù)器連接都位于受保護(hù)網(wǎng)絡(luò)中時(shí),RDS本身通常是足夠的。但是讓這些應(yīng)用安全地?cái)U(kuò)展到互聯(lián)網(wǎng)上則需要遠(yuǎn)程桌面網(wǎng)關(guān)角色服務(wù)的附加支持。
這個(gè)角色服務(wù)可以以多種配置部署,最有效的配置利用面向互聯(lián)網(wǎng)的DMZ,聯(lián)合反向代理解決方案,比如微軟的Forefront威脅管理網(wǎng)關(guān)或都統(tǒng)一訪問(wèn)網(wǎng)關(guān)。
提醒一下,這些額外的服務(wù)器并非是絕對(duì)必要的。如果優(yōu)先需要絕對(duì)安全,這些服務(wù)器的確是個(gè)好主意。向現(xiàn)有的RDS環(huán)境添加RDG有四種普遍接受的設(shè)計(jì)。一種選擇是威脅管理網(wǎng)關(guān)或統(tǒng)一訪問(wèn)網(wǎng)關(guān)的反向代理支持,這也被認(rèn)為是行業(yè)最佳實(shí)踐。如果你想讓所有事情都安裝好且正常工作,下面是按步操作的教程:
1.獲得一個(gè)服務(wù)器證書(shū)。傳輸層安全(TLS)1.0用來(lái)加密RDG服務(wù)器與相連客戶(hù)端間的通訊。為了讓TLS執(zhí)行。你將需要獲得SSL兼容的X.509服務(wù)器證書(shū),它將安裝在RDG服務(wù)器上。雖然創(chuàng)建自簽名的證書(shū)是可行的,但是一般的最佳實(shí)踐是使用從通用憑證管理中心處已經(jīng)獲得的證書(shū),它參與到微軟的根證書(shū)課程成員活動(dòng)中。
2.搭建新的RDG服務(wù)器并安裝證書(shū)。作為RDS環(huán)境中安全基礎(chǔ)設(shè)施的一部分,這個(gè)服務(wù)器應(yīng)該專(zhuān)門(mén)作為一個(gè)RDG服務(wù)器運(yùn)行。這個(gè)服務(wù)器將運(yùn)行安裝了RDS角色和RDG角色的Windows Server 2008 R2。它還應(yīng)該添加到你LAN中使用的活動(dòng)目錄域中。安裝角色服務(wù)之前,每一步是安裝你獲得的證書(shū)。仔細(xì)留意證書(shū)安裝的位置。這必須安裝在本地電腦的Personal Store,這樣易于RDG訪問(wèn)。注意,這不是現(xiàn)有用戶(hù)的Personal Store,有時(shí)候?yàn)榱税惭b它可以設(shè)置成默認(rèn)位置。
3.安裝RDG角色服務(wù)。證書(shū)安裝好了,導(dǎo)航到服務(wù)器管理器,安裝RDS角色和RDG角色服務(wù)。安裝會(huì)要使用的證書(shū)。第二步中安裝的證書(shū)應(yīng)該可以在導(dǎo)航面板獲得。如果不能,它要么沒(méi)有安裝,要么就是裝到了錯(cuò)誤的位置上。選擇網(wǎng)關(guān)用戶(hù)組,它可以通過(guò)RDG訪問(wèn)到內(nèi)部的RDS資源。
你還會(huì)接到要?jiǎng)?chuàng)建一個(gè)遠(yuǎn)程桌面連接授權(quán)策略(RD CAP)和遠(yuǎn)程桌面資源授權(quán)策略 (RD RAP)的要求。RD CAP指定哪個(gè)用戶(hù)可以通過(guò)哪種授權(quán)方法(密碼、智能卡或兩個(gè)同時(shí)使用)來(lái)訪問(wèn)到RDG。RD RAP指定這些用戶(hù)在得到授權(quán)后可以對(duì)哪些內(nèi)部資源進(jìn)行操作。這要么是計(jì)算機(jī)的一個(gè)活動(dòng)目錄組,要么是網(wǎng)絡(luò)中的所有計(jì)算機(jī)。為剩余的所有導(dǎo)航頁(yè)選擇默認(rèn)。
4.調(diào)整RD CAP和RD RAP設(shè)置。RDG這時(shí)候完成安裝了。你安裝后的下一步是調(diào)整所有在服務(wù)器管理器中遠(yuǎn)程桌面網(wǎng)關(guān)管理器下面可以找到的所有RD CAP和RD RAP設(shè)置。向下導(dǎo)航到連接授權(quán)和資源授權(quán)策略來(lái)打開(kāi)導(dǎo)航中創(chuàng)建的策略。雙擊任一策略都會(huì)帶你前往它的控制面板來(lái)進(jìn)行更多配置,比如設(shè)備重定向、附加要求、超時(shí)設(shè)定、網(wǎng)絡(luò)資源、用戶(hù)組和許可端口。注意,這些RD CAP和RD RAP設(shè)置提供一種機(jī)制來(lái)限制多種用戶(hù)體驗(yàn)設(shè)置在互聯(lián)網(wǎng)上的連接,比如限制到本地硬盤(pán)驅(qū)動(dòng)的訪問(wèn)。當(dāng)用戶(hù)通過(guò)不受信網(wǎng)絡(luò)連接時(shí)它們可以用來(lái)加強(qiáng)安全。
5.配置反向代理。由于RDG作為外部客戶(hù)端和內(nèi)部資源間的授權(quán)點(diǎn)運(yùn)行,在DMZ中定位它就增加了維護(hù)其內(nèi)部域成員的復(fù)雜性。因此,在DMZ中用LAN內(nèi)部的RDG定位一個(gè)反向代既提供了技術(shù)又提供了網(wǎng)絡(luò)資源,可以用來(lái)完成它們做得最好的事情。你的下一步是配置反向代理服務(wù)器,啟用其中的設(shè)置來(lái)切換到內(nèi)部RDG的通訊。如果這個(gè)反向代理是一個(gè)微軟威脅管理網(wǎng)關(guān),你可以查看這里詳細(xì)的按步操作教程。你還可以查看微軟統(tǒng)一訪問(wèn)網(wǎng)關(guān)的按步操作配置。
6.重配置RemoteApp來(lái)和RDG一起使用。最后一步就需要配置所有發(fā)布的RemoteApp來(lái)通過(guò)RDG指向它們的連接。在遠(yuǎn)程應(yīng)用管理器中,查看任一已配置遠(yuǎn)程應(yīng)用的屬性。選擇遠(yuǎn)程網(wǎng)關(guān)欄,移動(dòng)單選按鈕來(lái)使用這些遠(yuǎn)程網(wǎng)關(guān)服務(wù)器設(shè)置。鍵入一個(gè)可外部解析的服務(wù)器名稱(chēng)和登錄方法。你可以選擇啟用RDG和托管該RemoteApp的RDSH服務(wù)器間的單點(diǎn)登錄。如果你希望從LAN處鏈接時(shí),LAN客戶(hù)端直接連接到這個(gè)RemoteApp(不通過(guò)RDG),你還可以針對(duì)本地地址選擇旁路遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)器。一旦完成,向客戶(hù)端重新發(fā)布這些RDP或MSI文件,這樣它們才能重新識(shí)別新的配置。
如果你正確地執(zhí)行了所有步驟,恭喜你,你的客戶(hù)端現(xiàn)在應(yīng)該能通過(guò)互聯(lián)網(wǎng)訪問(wèn)內(nèi)部資源了。如果你仍然遇到問(wèn)題,仔細(xì)地留意內(nèi)外部客戶(hù)端間DNS解析的不同之處。當(dāng)外部客戶(hù)端得到的DNS域和內(nèi)部客戶(hù)端使用的DNS域不同時(shí),這尤其值得注意。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:六步完成ERP系統(tǒng)遠(yuǎn)程桌面網(wǎng)關(guān)配置