遠(yuǎn)程桌面服務(wù)是Windows Server 2008 R2中的一個(gè)角色服務(wù)，它讓你可以將業(yè)務(wù)應(yīng)用的范圍擴(kuò)展到互聯(lián)網(wǎng)上。不用費(fèi)多大力氣，安裝到RDS服務(wù)器上的應(yīng)用幾乎就可以通過網(wǎng)絡(luò)連接交付到任意地點(diǎn)。

當(dāng)客戶端和服務(wù)器連接都位于受保護(hù)網(wǎng)絡(luò)中時(shí)，RDS本身通常是足夠的。但是讓這些應(yīng)用安全地?cái)U(kuò)展到互聯(lián)網(wǎng)上則需要遠(yuǎn)程桌面網(wǎng)關(guān)角色服務(wù)的附加支持。

這個(gè)角色服務(wù)可以以多種配置部署，最有效的配置利用面向互聯(lián)網(wǎng)的DMZ，聯(lián)合反向代理解決方案，比如微軟的Forefront威脅管理網(wǎng)關(guān)或都統(tǒng)一訪問網(wǎng)關(guān)。

提醒一下，這些額外的服務(wù)器并非是絕對(duì)必要的。如果優(yōu)先需要絕對(duì)安全，這些服務(wù)器的確是個(gè)好主意。向現(xiàn)有的RDS環(huán)境添加RDG有四種普遍接受的設(shè)計(jì)。一種選擇是威脅管理網(wǎng)關(guān)或統(tǒng)一訪問網(wǎng)關(guān)的反向代理支持，這也被認(rèn)為是行業(yè)最佳實(shí)踐。如果你想讓所有事情都安裝好且正常工作，下面是按步操作的教程：

1.獲得一個(gè)服務(wù)器證書。傳輸層安全（TLS）1.0用來加密RDG服務(wù)器與相連客戶端間的通訊。為了讓TLS執(zhí)行。你將需要獲得SSL兼容的X.509服務(wù)器證書，它將安裝在RDG服務(wù)器上。雖然創(chuàng)建自簽名的證書是可行的，但是一般的最佳實(shí)踐是使用從通用憑證管理中心處已經(jīng)獲得的證書，它參與到微軟的根證書課程成員活動(dòng)中。

2.搭建新的RDG服務(wù)器并安裝證書。作為RDS環(huán)境中安全基礎(chǔ)設(shè)施的一部分，這個(gè)服務(wù)器應(yīng)該專門作為一個(gè)RDG服務(wù)器運(yùn)行。這個(gè)服務(wù)器將運(yùn)行安裝了RDS角色和RDG角色的Windows Server 2008 R2。它還應(yīng)該添加到你LAN中使用的活動(dòng)目錄域中。安裝角色服務(wù)之前，每一步是安裝你獲得的證書。仔細(xì)留意證書安裝的位置。這必須安裝在本地電腦的Personal Store，這樣易于RDG訪問。注意，這不是現(xiàn)有用戶的Personal Store，有時(shí)候?yàn)榱税惭b它可以設(shè)置成默認(rèn)位置。

3.安裝RDG角色服務(wù)。證書安裝好了，導(dǎo)航到服務(wù)器管理器，安裝RDS角色和RDG角色服務(wù)。安裝會(huì)要使用的證書。第二步中安裝的證書應(yīng)該可以在導(dǎo)航面板獲得。如果不能，它要么沒有安裝，要么就是裝到了錯(cuò)誤的位置上。選擇網(wǎng)關(guān)用戶組，它可以通過RDG訪問到內(nèi)部的RDS資源。

你還會(huì)接到要?jiǎng)?chuàng)建一個(gè)遠(yuǎn)程桌面連接授權(quán)策略（RD CAP）和遠(yuǎn)程桌面資源授權(quán)策略(RD RAP)的要求。RDCAP指定哪個(gè)用戶可以通過哪種授權(quán)方法（密碼、智能卡或兩個(gè)同時(shí)使用）來訪問到RDG。RD RAP指定這些用戶在得到授權(quán)后可以對(duì)哪些內(nèi)部資源進(jìn)行操作。這要么是計(jì)算機(jī)的一個(gè)活動(dòng)目錄組，要么是網(wǎng)絡(luò)中的所有計(jì)算機(jī)。為剩余的所有導(dǎo)航頁選擇默認(rèn)。

4.調(diào)整RD CAP和RD RAP設(shè)置。RDG這時(shí)候完成安裝了。你安裝后的下一步是調(diào)整所有在服務(wù)器管理器中遠(yuǎn)程桌面網(wǎng)關(guān)管理器下面可以找到的所有RDCAP和RDRAP設(shè)置。向下導(dǎo)航到連接授權(quán)和資源授權(quán)策略來打開導(dǎo)航中創(chuàng)建的策略。雙擊任一策略都會(huì)帶你前往它的控制面板來進(jìn)行更多配置，比如設(shè)備重定向、附加要求、超時(shí)設(shè)定、網(wǎng)絡(luò)資源、用戶組和許可端口。注意，這些RDCAP和RD RAP設(shè)置提供一種機(jī)制來限制多種用戶體驗(yàn)設(shè)置在互聯(lián)網(wǎng)上的連接，比如限制到本地硬盤驅(qū)動(dòng)的訪問。當(dāng)用戶通過不受信網(wǎng)絡(luò)連接時(shí)它們可以用來加強(qiáng)安全。

5.配置反向代理。由于RDG作為外部客戶端和內(nèi)部資源間的授權(quán)點(diǎn)運(yùn)行，在DMZ中定位它就增加了維護(hù)其內(nèi)部域成員的復(fù)雜性。因此，在DMZ中用LAN內(nèi)部的RDG定位一個(gè)反向代既提供了技術(shù)又提供了網(wǎng)絡(luò)資源，可以用來完成它們做得最好的事情。你的下一步是配置反向代理服務(wù)器，啟用其中的設(shè)置來切換到內(nèi)部RDG的通訊。如果這個(gè)反向代理是一個(gè)微軟威脅管理網(wǎng)關(guān)，你可以查看這里詳細(xì)的按步操作教程。你還可以查看微軟統(tǒng)一訪問網(wǎng)關(guān)的按步操作配置。

6.重配置RemoteApp來和RDG一起使用。最后一步就需要配置所有發(fā)布的RemoteApp來通過RDG指向它們的連接。在遠(yuǎn)程應(yīng)用管理器中，查看任一已配置遠(yuǎn)程應(yīng)用的屬性。選擇遠(yuǎn)程網(wǎng)關(guān)欄，移動(dòng)單選按鈕來使用這些遠(yuǎn)程網(wǎng)關(guān)服務(wù)器設(shè)置。鍵入一個(gè)可外部解析的服務(wù)器名稱和登錄方法。你可以選擇啟用RDG和托管該RemoteApp的RDSH服務(wù)器間的單點(diǎn)登錄。如果你希望從LAN處鏈接時(shí)，LAN客戶端直接連接到這個(gè)RemoteApp（不通過RDG），你還可以針對(duì)本地地址選擇旁路遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)器。一旦完成，向客戶端重新發(fā)布這些RDP或MSI文件，這樣它們才能重新識(shí)別新的配置。

如果你正確地執(zhí)行了所有步驟，恭喜你，你的客戶端現(xiàn)在應(yīng)該能通過互聯(lián)網(wǎng)訪問內(nèi)部資源了。如果你仍然遇到問題，仔細(xì)地留意內(nèi)外部客戶端間DNS解析的不同之處。當(dāng)外部客戶端得到的DNS域和內(nèi)部客戶端使用的DNS域不同時(shí)，這尤其值得注意。