介绍文档
一、RDS产品介绍
1、RDS是什么?
RDS 全称是:Remote Desktop Service,远程桌面服务,它是微软的桌面虚拟化解决方案的统称。它包括六个组件:RDCB,Remote Desktop Connection Broker,远程桌面连接代理、RDGW,Remote Desktop Gateway,远程桌面网关、RDWA,Remote Desktop Web Access,远程桌面 Web 访问、RDVH,Remote Desktop Virtualization Host,远程桌面虚拟化主机、RDSH,Remote Desktop Session Host,远程桌面会话主机及RDLS,Remote Desktop License Server,远程桌面授权服务器。
远程桌面服务可以实现很多功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可以单会话实现远程运行,远程使用Web应用程序等功能。
2、RDS的六种关键角色
为了实现上述功能,Windows Server远程桌面服务包含了六种关键角色:
角色名称 角色作用 远程桌面网关RDGW 实现认证的用户通过公用网络去连接位于私有网络中的虚拟桌面、远程应用以及基于会话的桌面 远程桌面连接代理RDCB 允许用户去重新连接到他们已有的虚拟桌面、远程应用以及基于会话的桌面 远程桌面会话主机 RDSH 实现服务器去承载远程应用作为基于会话的桌面,用户可以使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源 远程桌面虚拟化主机RDVH 实现用户可使用远程应用工具和桌面连接工具连接虚拟桌面 远程桌面网页访问RDWA 实现用户可使用通过网页浏览器去访问远程应用和桌面连接 远程桌面授权服务RDLS 实现一个服务器可以管理客户端访问授权,该授权可以允许每个设备或者用户连接基于远程桌面会话的服务器
3、RDP协议介绍
微软远程桌面协议(Remote Desktop protocol,RDP)是一种构建与Windows系列操作系统的终端网络服务通信协议。它采用了典型的C/S架构,共分为两个部分:运行在远程设备上的客户端和运行在服务器上的终端服务器。作为微软公司的一个工业标准,该协议应用于Windows系列服务器,并在Windows XP版本以后的个人操作系统上绑定了其客户端。RDP协议建立于微软公司内部,与大多数公开细节的网络协议不同,其具体实现过程作为商业机密,目前尚未公开。
而当windows用户通过公共网络直接去尝试连接在防火墙后面的资源时,需要在防火墙上开启3389端口或者其他远程桌面的端口。如果不方便开启相应的端口,远程访问操作也就不能实现。
即便在防火墙上开启了3389端口也是不安全的,会对私有网络中存在并且开启了3389或相应远程桌面端口的服务器或者资源造成安全威胁,因为任何人都可以尝试远程桌面端口来进行服务器端的密码破解。
为解决上述问题,我们可以启用远程桌面网关服务Remote Desktop Gateway。
二、RD网关产品介绍
远程桌面网关(RD 网关)是一个角色服务,使授权远程用户可以从任何连接到 Internet 并且可以运行远程桌面连接 (RDC) 客户端的设备连接到内部企业网络或专用网络上的资源。网络资源可以是远程桌面会话主机(RD 会话主机)服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。
1、节点说明
外部防火墙:外部防火墙为私有网络对外开放的接口,对外需要开放443端口
RD桌面网关服务器:用户通过此服务器将可以连接到内部网络的终端服务器或者远程桌面桌面电脑
内部防火墙:此防火墙需要开启3389端口以便从RD网关服务器过来的请求可以向终端服务器、远程桌面计算机发起远程请求
远程终端服务器:内网中的远程服务器资源
远程桌面电脑:内网中的远程桌面电脑资源
2、用户访问过程:
1、首先客户端通过公网部分基于https的rdp协议向RD网关发送第一个RDP请求消息,其中携带有其想连接的目标远程终端服务器的主机信息、其自身支持的加密强度和消息认证的算法等。
2、RD网关收到该请求消息之后,会立即响应一段应答报文,该应答报文包含有一个服务器随机数、一个RSA公钥值、一段该公钥的签名,并提供RD网关所支持的加密强度和消息认证算法。
3、收到响应的客户端会采用RD网关传来的RSA公钥加密一个自己当前选择的随机数,并将其发送给RD网关。于是,RD网关和客户端之间的隧道便以建立。
4、客户端与RD网关认证完成之后,RD网关便会将客户端的RDP请求中目标服务器的地址信息解析出来,并将该请求消息中的地址信息删除之后,基于已建立的隧道把该请求消息发送给解析出地址信息的目标服务器
5、对应的目标服务收到请求后,同样与上述步骤一样与RD网关进行认证( RDP协议 ),认证完成后目标服务器将请求结果发送给RD网关,RD网关该请求结果转发给客户端,这样便相当于在已建立的隧道中建立了一条通信通道。而在这一过程中,RD网关相当于一个中间代理。
6、如若完成以上过程,便首先在客户端到RD网关之间通过DTLS握手建立其一条安全通道,随后客户端向RD网关发送相应次数的连接建立请求数据包,RD网关会使用数据包中的cookie来认证客户端,当cookie校验成功,客户蹲大会使用cookie中指定的IP地址来建立一条UDP连接,之后RD网关会存储连接建立的结果,并发送给客户端
7、之后数据便可通过RD网关在客户端和目标远程终端服务器之间进行传输。
三、功能特性
1、RD网关的特性:
• 不用配置虚拟专用网(VPN)就可以构建一个安全加密的连接。
• 提供了一种综合安全配置使得用户可以控制访问特殊的内部网络中的资源。
• 提供了点到点的远程桌面协议连接,而不是允许远程用户访问所有内部网络中的资源。
• 不用多余的配置便可以使得远程用户通过网络地址转换(NAT)来实现远程访问。
• 提供了两种授权方式来进行安全控制。
• 可以与网络访问保护(NAP)进行协作提供更安全的防护。
• 可以与微软互联网安全与加速服务器进行协作提供更安全的防护。
• 提供了友好的方式,可以帮助管理人员随时监控远程桌面网关状态,健康度和事件,已达到更好管理的目的
2、为什么使用RD网关产品?
RD 网关有许多优点,其中包括:
① 通过 RD 网关,远程用户可以使用加密连接,通过 Internet 连接到内部网络资源,而不必配置虚拟专用网络 (VPN) 连接。
② RD 网关提供全面的安全配置模型,使用户可以控制对特定内部网络资源的访问。RD 网关提供点对点的 RDP 连接,而不是允许远程用户访问所有内部网络资源。
③ 通过 RD 网关,大多数远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序 (NAT) 托管的内部网络资源。在此方案中,通过 RD 网关,不必对 RD 网关服务器或客户端执行其他配置。
④ 在RD网关之前,采用安全措施来阻止远程用户跨防火墙和 NAT 连接到内部网络资源。这是由于出于网络安全考虑,通常阻止端口 3389(用于 RDP 连接的端口)。RD 网关使用 HTTP 安全套接字层/传输层安全 (SSL/TLS) 隧道将 RDP 通信传输到端口 443。由于大多数公司打开端口 443 来支持 Internet 连接,所以,RD 网关利用此网络设计提供跨多个防火墙的远程访问连接。
⑤ 通过远程桌面网关管理器可以配置授权策略,以定义远程用户要连接到内部网络资源必须满足的条件。
• 可以连接到内部网络资源的用户(即,可以连接的用户组)。
• 用户可以连接到的网络资源(计算机组)。
• 客户端计算机是否必须是 Active Directory 安全组的成员。
• 是否允许设备的重定向。
• 客户端需要使用智能卡身份验证还是密码身份验证,还是可以使用任一方法。
