Windows Server远程桌面网关深入浅出

2018-01-08 11:18:00 作者:佚名 分类 : 比特网

    摘要

  随着信息技术的不断发展,使得在任何地方都可能进行IT资源部署,尤其是服务器资源的部署。而亲身在现场进行部署或者维护工作对于IT人员来讲并不现实,会耗费大量的人力物力。远程桌面服务可以实现远程访问,操控资源,从而提供了一种方便快捷的方式来进行服务器的远程管理。远程桌面网关服务作为实现远程桌面服务的核心技术,实现了接受远程访问要求,控制远程访问的工作。

  本文将从四部分对Windows Server远程桌面网关服务进行讨论,该服务是世纪互联蓝运营的Microsoft Azure公有云平台实现的客户远程访问公有云资源的核心服务。本文首先对远程桌面服务和远程桌面网关服务进行介绍,其中介绍了包括实现服务所需要的角色和功能,远程桌面网关服务的基本原理,然后对远程桌面网关的核心协议进行讨论,接下来介绍了如何在Windows Server 2008 R2服务器上部署远程桌面网关服务,在本文最后的部分,探讨了两种在日常工作中与远程桌面网关服务相关的可能出现的问题,提供了相应的解决思路和方法。

  一、 远程桌面服务与远程桌面网关介绍

  1.1 远程桌面服务介绍

  远程桌面服务 (Remote Desktop Services)最早是在Windows NT Server 4.0中引入并且开始正式使用,在Windows Server 2008 R2之前被称为终端服务(Terminal Services),在Windows Server 2008 R2开始该服务的名称变为远程桌面服务。

  远程桌面服务可以实现很多功能,其中包括帮助Windows Server服务器实现承载多个并行的客户端会话,可以单会话实现远程运行,远程使用Web应用程序等功能。

  为了实现上述功能,Windows Server远程桌面服务包含了六种关键角色,如表1-1所示,表1-1 远程服务角色及作用

  

1-1 远程服务角色及作用

角色名

角色作用

远程桌面网关

实现认证的用户通过公用网络去连接位于私有网络中的虚拟桌面、远程应用以及基于会话的桌面

远程桌面连接代理

允许用户去重新连接到他们已有的虚拟桌面、远程应用以及基于会话的桌面。

远程桌面会话主机

实现服务器去承载远程应用作为基于会话的桌面,用户可以使用远程桌面连接应用连接到会话主机去运行应用,存储文件,使用资源。

远程桌面虚拟化主机

实现用户可使用远程应用工具和桌面连接工具连接虚拟桌面

远程桌面网页访问

实现用户可使用通过网页浏览器去访问远程应用和桌面连接

远程桌面授权服务

实现一个服务器可以管理客户端访问授权,该授权可以允许每个设备或者用户连接基于远程桌面会话的服务器。

  远程桌面服务提供了一系列的解决方案来实现用户远程访问或是操作,为用户提供了便利。下面我们继续介绍本文的重点内容远程桌面网关。

  1.2 远程桌面网关介绍

  上一小节概要的介绍了远程桌面服务,以及该服务所包含的相应功能。本小节将会介绍本章的重点内容--远程桌面网关。

  远程桌面网关(Remote Desktop Gateway)在上小节中提到是作为一个角色来实现允许被授权的用户通过公有网络来访问位于私有网络中的资源,资源可以是远程服务器、或者运行远程应用的服务器,也可以是远程桌面开启的服务器或者个人电脑。远程桌面网关使用在安全超文本传输协议(HTTPS)上的远程桌面协议(RDP)来在公共网络中进行远程访问和在私有网络中的设备或者服务器之间建立一个安全加密的连接。

  在不使用远程桌面网关的时候会出现下列三种问题,第一种问题如图1-1

  图1-1 未使用远程桌面网关所产生的问题1

  用户通过互联网,也就是通过公共网络直接去尝试连接在防火墙后面的资源时,需要在防火墙上开启3389端口或者其他远程桌面的端口。如果是不方便开启相应端口,远程访问操作也就不能实现。

  问题二如图1-2所示,如果在公司内部有很多台远程会话主机,在没有使用远程桌面网关的情况下,

  图1-2 未使用远程桌面网关所产生的问题二

  我们需要将映射很多个端口到远程桌面端口上,可以看到不是一个灵活和便捷的方式。

  最后一个问题是即便在防火墙上开启了3389端口也是不安全的,因为会对私有网络中存在并且开启了3389或相应远程桌面端口的服务器或者资源造成安全威胁,因为任何人都可以尝试远程桌面端口来进行服务器端的密码破解。

  Windows Server远程桌面网关可以很好的解决上述三点问题,因为远程桌面网关包含了以下特性,

  · 不用配置虚拟专用网(VPN)就可以构建一个安全加密的连接。

  · 提供了一种综合安全配置使得用户可以控制访问特殊的内部网络中的资源。

  · 提供了点到点的远程桌面协议连接,而不是允许远程用户访问所有内部网络中的资源。

  · 不用多余的配置便可以使得远程用户通过网络地址转换(NAT)来实现远程访问。

  · 提供了两种授权方式来进行安全控制。

  · 可以与网络访问保护(NAP)进行协作提供更安全的防护。

  · 可以与微软互联网安全与加速服务器进行协作提供更安全的防护。

  · 提供了友好的方式,可以帮助管理人员随时监控远程桌面网关状态,健康度和事件,已达到更好管理的目的。

  当我们在环境中部署了远程桌面网关之后,客户端的连接远程桌面会话主机的方式发生了根本的变化,如图1-3所示,

  图1-3 使用远程桌面网关后连接方式

  我们可以看到,在公网(Internet)的用户使用笔记本(Home Laptop)想访问公司内部的私有网络中(Corporate/Private Network)的服务器或台式机,首先需要先与远程桌面网关服务通过基于安全套字节层的远程桌面协议(RDP over SSL)建立一个安全的通信通道,然后再通过远程桌面网关的远程桌面端口连接到公司内部的资源的远程桌面3389端口,这样就建立起了一条从用户到远程终端的安全通信链路。

  1.3 本章小结

  本章介绍了远程桌面与远程桌面网关的基本概念,其中包括了各个远程桌面的角色,以及每个角色可以实现的功能。另外通过分析用户远程访问时所面临的问题,引出了Windows Server远程桌面网关的优势,最后介绍了远程桌面网关部署后的访问方式。

  二、远程桌面网关核心协议研究

  从第一章的介绍可知,一个用户想要从家里访问公司内部生产环境中的服务器是通过一条安全的通道来进行通信的,故如何建立这条安全通道是实现远程桌面网关服务的重点。而建立通道所需要的协议则是核心,本章主要研究远程桌面网关的核心协议。

  2.1 远程桌面网关服务器协议介绍

  远程桌面网关使用远程桌面网关协议集实现用户远程访问,协议集会从远程桌面网关客户端到远程桌面网关服务器在中立区域建立一条隧道,远程桌面网关客户端会利用该隧道来在客户端和终端服务器之间建立一条通道,数据则通过这条通道在客户端和终端服务器之间进行传输。隧道和通道共同维护活跃的通信连接。

  客户端会建立一条主通道到终端服务器,还可以建立零到多个辅助通道,远程桌面网关协议使用RPC Over HTTP和HTTP两种协议来进行主通道的建立,该协议还使用UDP传输协议来建立侧通道。

  2.2 远程桌面网关服务器协议(RDGWSP)原理

  由2.1小节可知,远程桌面网关使用了RPC over HTTP、HTTP以及UDP协议进行通道建立来实现用户与终端服务器之间的通信。这一小节来介绍每个协议进行通道建立,数据传输,通道关闭等功能的具体步骤。

  2.2.1 远程桌面网关服务器协议

  远程桌面网关服务器协议使用RPC over HTTP来进行通道建立,数据传输,通道关闭。从远程桌面网关服务器到客户端执行RPC out pipe,从客户端到远程桌面网关执行RPC calls来实现通信。下面来研究每一步的过程。

  2.2.1.1 通道建立

  通道的建立分为从客户端到远程桌面网关服务器,再从远程桌面网关服务器到终端服务器两部分,这个过程包含了四个操作步骤,

  建立连接:建立连接的过程如图2-1所示,

  图2-1 连接建立过程

  在建立连接过程中,客户端会根据网关服务器的所支持的协议版本、服务器证书利用TsProxyCreateTunnel方法建立一条隧道。接下来利用TsProxyAuthorizeTunnel方法对远程桌面网关客户端执行授权规则,其中包括健康检查,强制用户授权的隧道认证操作,之后如果客户端和网关服务器能够发送和接收管理消息,远程桌面网关客户端可以调用TsProxyMakeTunnelCall方法来请求消息。最后利用TsProxyCreateChannel方法在已经建立好的隧道中建立一个通道来实现接下来的数据传输工作。

  2.2.1.2 数据传输:数据传输过程将允许从客户端到终端服务器进行数据传输工作,在这个工作成,远程桌面网关服务器扮演者一个中间代理者的角色,如图2-2所示,

  图2-2 中间代理者

  远程桌面网关客户端会与远程桌面网关服务器建立一个连接,然后远程桌面服务器再跟终端服务器建立一条独立的连接,这样,从客户端到终端服务器的这条逻辑链路称为一条通道,而这条通道只能建立在隧道之内,但一个隧道可以容纳多条通道同时通信。

  数据从终端服务器到客户端通过远程桌面网关服务器使用out pipe进行传输。远程桌面网关服务器协议使用RPC out pipes将数据从远程桌面网关服务器到客户端进行数据流化传输。数据流的工作是由TsProxySetupReceivePipe方法来实现的,一个通道一次只可以调用一次该方法。而数据从客户端通过远程桌面网关服务器传输至终端服务器时,会调用TsProxySendToServer方法来实现数据的传输,具体过程如图2-3所示,

  图2-3 客户端和网关服务器之间数据传输的过程

  2.1.1.3 结束过程:结束过程是去终止通道和隧道的过程,其中包含了关闭通道,取消等待消息以及关闭隧道三个子过程,如图2-4所示,

  图2-4 结束过程

  远程桌面网关客户端都可以发起结束过程,客户端使用TsProxyCloseChannel方法来启动这个过程,该过程会关闭在传输数据过程中所使用的RPC out pipe,而远程桌面网关服务器则发送一个RPC response protocol data unit(PDU)来结束通过TsProxySetupReceivePipe方法来建立的数据传输。如果远程桌面网关客户端还有对于远程桌面网关服务器的等待的管理消息的请求,客户端将调用TsProxyMakeTunnel方法来取消该请求。在结果过程的最后,当所有的通道关闭后,会调用TsProxyCloseTunnel方法来关闭隧道,整个过程结束。

  2.3 远程桌面网关超文本协议(RDGWHTTP)

  远程桌面网关超文本协议(RDGWHTTP)使用超文本协议(HTTP)来创建两条通信通道,分别负责接收来自远程桌面网关服务器和发送数据到远程桌面网关服务器,每一条通道被加密协议SSL所保护,这也是部署远程桌面网关服务器最常用的一种协议。RDGWHTTP使用HTTP协议来实现四个过程,分别为建立连接与认证、创建隧道和通道、数据传输以及关闭连接。

  2.3.1建立连接与认证过程

  OUT和IN通道是一条HTTP1.1连接,如果远程桌面网关服务器和远程桌面网关客户端支持WebSocket协议,那OUT通道和IN通道便可实现双向通信功能,如果不支持,则OUT通道负责远程桌面网关的数据发送,而IN通道则负责数据输入工作。通道建立完成后进行认证过程,如图2-5所示。

  图2-5 连接创建过程

  2.3.2隧道创建和通道创建过程

  远程桌面网关客户端与远程桌面网关服务器通过交换由HTTP请求和响应主体的消息来实现创建隧道和通道的过程,这个过程包含交换版本和能力协调信息,创建隧道,认证隧道,创建通道四部分操作,如图2-6所示。

  图2-6 隧道和通道建立过程中的数据交换

  2.3.3数据和服务器消息交换过程

  在数据和服务器消息交换过程中,远程桌面网关服务器和远程桌面网关客户端使用IN通道和OUT通道来进行数据的发送工作,另外会通过Keep-alive消息来实现检测服务器和客户端状态的功能。远程桌面网关服务器会不定时发送服务消息和重认证请求来确保客户端的有效性。

  2.3.4连接关闭过程

  在连接关闭过程中,远程桌面客户端和远程桌面服务器都可以关闭通道,如图2-7所示,客户端发起通道关闭,其中包括关闭通道和关闭隧道两步,

  图2-7 连接关闭过程

  2.4 远程桌面网关用户数据报文协议(RDGWUDP)

  远程桌面用户数据报协议被设计用来穿越防火墙在远程桌面网关客户端和终端服务器中间进行传输图形图像,音频视频数据的协议。该协议会在远程桌面网关客户端上创建一个隧道后在隧道内创建一条连接客户端和终端服务器的通道,而远程桌面网关服务器会以一个代理的形式,数据通过这条建立好的通道进行传输。数据在远程桌面网关服务器到和远程桌面网关客户端使用用户数据报文协议进行传输,远程桌面网关客户端会与远程桌面网关服务器进行数据包传输层安全性协议(DTLS)握手后建立一条安全通道,进行相应的连接建立、数据传输以及关闭过程。

  2.4.1 DTLS握手过程

  DTLS握手过程会首先在远程桌面网关客户端和远程桌面网关服务器之间建立起一条安全的通道。握手的过程由两个操作组成,首先远程桌面网关客户端会通过可靠的方式发送第一个数据包,这个数据包会不断地重复发送给服务器端直到收到服务器的相应,如果在相应的次数内客户端没有收到服务器端的相应,则会标识本次连接建立的过程失败。其他的DTLS握手过程都是通过不可靠的方式进行的,所有丢失的数据包都不会进行重传操作,客户端和服务器端负责丢失数据包重传的任务,过程如图2-8所示,

  图2-8 DTLS握手过程

  2.4.2连接建立过程

  连接建立的过程由三部分组成,首先远程桌面网关客户端发送相应次数的CONNET_PKT_Structure数据包到远程桌面网关服务器,直到收到从远程桌面网关服务器发送来的CONNET_PKT_RESP数据包。远程桌面网关服务器会使用在Connect_PKT_Structure数据包中的cookie来认证远程桌面网关客户端。当cookie校验成功,客户端会使用在cookie中指定的IP地址来建立一条UDP的连接。之后远程桌面网关服务器会存储连接建立的结果,并发送给客户端,流程如图2-9所示,

  图2-9 连接创建中的数据包传送过程

  2.4.3数据传输过程

  本过程实现了数据通过远程桌面网关服务器在远程桌面网关客户端和终端服务器之前的传输。UDP会建立一条逻辑的隧道和一条客户端和终端服务器的端到端的连接后进行数据的传输工作

  2.4.4 关闭过程

  本过程会终止UDP通道以及所有在客户端和网关服务器之间的连接。客户端和网关服务器都可以发送DISC_PKT_Structure数据包来实现该过程。过程如图2-10所示,

  图2-10 关闭过程

  2.5 本章小结

  本章具体介绍了要实现远程桌面网关服务所必须的三个关键协议:RDGWSP,RDGWHTTP和RDGWUDP,分析了每个协议在连接创建,数据传输,连接关闭等过程中的步骤与实现方式。

  三、 远程桌面网关部署应用

  3.1 关键功能及组件介绍

  3.1.1 证书

  传输层安全协议(TLS)通常被用来加密远程桌面网关客户端和远程桌面网关服务器之间所传说的数据,TLS作为一个标准的协议可以提供在公网或者内网安全的数据保护。为了使TLS可以正确的工作,用户需要在远程网关服务器上安装一个SSL兼容的X.509证书。

  有三种方法可以获取这个SSL兼容的X.509证书,

  · 从内部Certificate Authority(CA)获取证书

  · 使用自颁发证书

  · 从有资质的公共CA购买证书

  如要从内部CA获取证书,那么内部的CA的证书必须被一个微软认证的公共CA所签名,否则由于证书是不可信任的,用户从家里或者别的非工作环境中有可能无法连接网关服务器。而使用自颁发证书,一般用来在测试环境中对网关服务器的工作进行评估时使用,因此不建议在生产环境中使用。从有资质的公共CA购买证书是大部分实现远程桌面网关服务的通用方法。

  3.1.2 远程桌面连接授权策略(RD CAP)和远程桌面资源授权策略(RD RAP)

  RD CAP和RD RAP使管理员可以控制当远程用户通过远程桌面网关来连接内网中的资源时的权限。RD CAP允许管理员指定什么用户可以连接使用远程桌面网关服务器。管理员可以指定一个活动目录中的安全组或者指定用户必须满足的其他条件。当远程用户满足了RD CAP中设定的条件,该用户便可以连接使用远程桌面网关服务,但是还需要创建RD RAP来指定哪些用户可以访问哪些内网中的资源。管理员必须创建了RD CAP和RD RAP后,远程用户才可以通过远程桌面服务器访问内网资源。

  3.1.3 网络访问保护(NAP)

  网络访问保护是操作系统中的一系列组件,这些组件可以保护私有网络访问。NAP提供了一个集成的方式来验证系统的健康状态,其中包含运行状况策略创建、强制和补救技术等。可以将远程桌面网关服务器和客户端配置为使用网络访问保护,这样便可以提高安全性。

  3.1.4 服务器场(Server Farm)

  由于远程桌面网关对每个客户端会话使用两个连接,一个入站,一个出站。如果要保证在负载平衡器将每个连接分发到不同的远程桌面网关服务器时,来自两个连接的通信均将重定向到同一台远程桌面网关服务器。这时我们就需要使用服务器场。

  3.2 部署远程桌面网关

  远程桌面网关服务是一个Windows Server中的一个角色,故部署方式相对不复杂。下面以在一台操作系统为Windows Server 2008 R2英文版的服务器上部署远程桌面网关服务为例介绍部署步骤。在部署之前,我们需要确定这台服务器已经加入了域。

  3.2.1 安装远程桌面网关服务

  3.2.1.1 调整用户账户控制(User Account Control Settings): 将用户账户控制调整到永不通知(Never Notify),然后重启服务器令其生效。

  图3-1 调整用户账户控制

  3.2.1.2 安装角色:

  (1)服务器重启完毕后,打开服务器管理器,选择角色,添加角色,选中远程桌面服务(Remote Desktop Services),

  图3-2 选中远程桌面服务

  (2)点击下一步,选择远程桌面网关(Remote Desktop Gateway),点击下一步,点击“添加所需的服务”,再点击下一步。

  图3-3 选择远程桌面网关

  图3-4 添加所需角色服务

  (3)在服务器认证证书步骤中,选择“稍后选择一个证书”(Choose a certificate….),点击下一步。在创建认证策略步骤中选择“稍后”(Later),然后点击下一步。

  图3-5跳过配置证书环节

  图3-6 跳过配置认证策略环节

  (4)在网络策略和访问服务步骤中,选中网络策略服务器(Network Policy Server)后点击下一步。

  图3-7 选择网络策略服务器

  (5)在角色服务中步骤中保持默认选项,点击下一步,

  图3-8 维持角色服务默认选项

  (6)确认安装远程网关服务,后点击安装(Install)

  图3-9 确认安装内容

  安装完毕后重启服务器,远程桌面网关服务安装完毕。

  3.2.2 配置远程桌面网关

  3.2.2.1 配置防火墙: 由于远程桌面网关服务器会与外界的客户端,或者其他设备通信,所以我们需要配置操作系统防火墙,以确保正常通信。需要确保将下列服务或者协议添加到防火墙的例外中,

  · Core Networking (核心网络)

  · File and Printer Sharing (文件与打印机共享)

  · Network Load Balancing (网络负载均衡)

  · Network Load Balancing Manager (网络负载均衡器)

  · Network Policy Server (网络策略服务器)

  · Remote Desktop (远程桌面)

  · Secure World Wide Web Services (HTTPS) (安全的超文本传输协议)

  · Terminal Services Gateway Server Farm (远程终端网关服务器场)

  · Windows Management Instrumentation (WMI)

  · World Wide Web Services (HTTP) (超文本传输协议)

  3.2.2.2 部署配置SSL证书:我们使用公共CA提供的证书作为远程桌面网关证书为例介绍部署SSL证书的步骤。

  (1)首先我们通过公共CA申请到一个SSL的证书后,从公共CA下载证书后,打开做证书请求的IIS服务器,点击完成证书申请并且导入证书。

  图3-10 完成证书申请

  图3-11 导入证书

  (2)在服务器上安装中级根和交叉根证书,

  图3-12 安装中级证书

  (3)当证书安装完毕后,打开远程桌面网关管理器,选中服务器后右键选择属性,选择从本地个人存储导入证书(Select an existing…),选择导入(Import Certificate)的证书,点击确定。

  图3-13 在远程桌面网关服务器中选择相应证书

  3.2.2.3 配置服务器场:

  (1)在远程桌面网关服务器上,打开远程桌面网关管理器,右键选择一台服务器,选择属性后,选择服务器场(Server Farm),点击添加(Add)将一台服务器添加到该服务器场中,如图3-

  图3-14 添加服务器配置服务器场

  图3-15 添加完毕一台服务器

  完成后,将所有参与远程桌面访问的服务器依次加入到服务器场。

  3.2.2.4 配置RD CAP和RD RAP:

  (1)打开远程桌面网关管理器,右键选择策略,选择“创建新的认证策略(Create New Authorization Policies)”。

  图3-16 选择创建新的认证策略

  (2)接下来向导会引导我们下一步去创建 RD CAP和RD RAP,按照建议(Recommended)点击下一步,

  图3-17选择创建RD CAP和RD RAP

  (3)在Type a name for the RD CAP下面输入策略的名称,点击下一步,

  图3-18输入策略名称

  (4)在需求界面中,选择智能卡(Smartcard),然后选择一个域中的安全组加入到用户组成员中(User Group Membership)中,点击下一步。

  图3-19配置需求

  (5)接下来配置设备重定向设置和会话超时设置,具体配置如图3-17和3-18所示。

  图3-20 配置设备重定向

  图3-21 配置会话超时

  (6)配置完RD CAP之后,接下来配置RD RAP。首先跟RD CAP一样,需要在Type a name for the RD RAP下面输入一个RD RAP的名称。

  图3-22 输入RAP名称

  (7)点击下一步,选择一个域中的安全组加入到用户组中(User group membership)中,点击下一步,

  图3-23 指定安全组

  (8)在网络资源步骤中,可以控制哪些资源是可以被之前添加了的组访问的,可以选择域中的组,这个组可以包含域中的服务器,也可以自己创建一个远程桌面网关控制的组,单独添加服务器,还可以选择允许访问任何的服务器。在这里,我们选择可以访问任何的资源(Allow users to connect to any network resource),点击下一步。

  图3-24 指定需要控制访问的网络资源

  (9)在允许的端口界面中,我们可以指定端口来访问终端资源,可以选择默认的3389端口(Allow connections only through TCP port 3389),还可以指定一些端口,比如999111,999222等,另外还允许选择任意端口,不过这种方法安全性和可管理性不高。

  图3-25 指定端口

  (10) 最后就是配置确认步骤,点击完成系统会生成相应的RD CAP 和 RD RAP。

  3.3 本章小结

  本章介绍了远程桌面网关服务的重要组件和功能,以及介绍了如何在Windows Server 2008 R2操作系统上部署远程桌面网关服务。

  四、 远程桌面网关服务使用中出现的问题以及解决思路

  在我们使用部署好的远程桌面网关服务时, 会出现一些比较常见的问题,在这一章中,我们讨论一下在使用远程桌面网关服务的过程中可能会出现的问题,以及解决思路。

  4.1 情景一

  问题情景: 大面积用户反应无法使用远程桌面网关服务。

  解决思路: 面对大面积用户的报告,我们可以判定应该是远程桌面网关服务出现了问题。我们需要立刻检查远程桌面网关服务。

  调查步骤: 如果只有一台服务器作为远程桌面网关服务器提供服务,那么首先需要尝试登陆该服务器,如果服务器可以登录,那么可以利用图4-1中的命令查看远程桌面网关服务是否运行正常。

  图4-1 查看远程桌面网关服务状态

  如果有很多台服务器在负载均衡器后面作为远程桌面网关服务器提供服务,当其中一台服务器出现问题无法提供服务时,负载均衡器不会将请求发送给有问题的服务器,所以,服务器问题不会是用户无法访问的根本原因,除非所有在负载均衡器后面的服务器同时出问题,所以我们需要先利用端口检查程序来检查端口是否是出于监听的状态,一般来讲我们使用portqry命令来进行检查,具体命令如图4-2所示,

  图4-2 检查端口命令

  如果TCP Port 443(https service): 是LISTENING状态,说明对外提供的网关服务是正常的。如果是FILTERED状态,则需要跟网络组一起调查是否问题与网络连接或者负载均衡器有关。

  4.2 情景二

  问题情景: 个别用户反应无法使用远程桌面网关服务。

  解决思路: 如果是个别用户报告他们无法使用,但是其他用户没有相同的反馈,那么说明问题不是出现在远程桌面网关服务,需要调查研究其他方面。

  调查步骤: 登陆上远程桌面网关服务器,打开事件查看器,定位到Applications and Services Logs -> Microsoft->Windows -> TerminalServices->Operational 中,可能会发现如下的信息,

  The user "Domain\xxxx" did not meet connection authorization policy requirements and was therefore not authorized to access the RD Gateway server. The following authentication method was attempted: "NTLM". The following error occurred: "23003".

  这意味着,该用户没有通过CAP的认证,所以无法使用远程桌面网关服务来进行远程访问。出现这个问题有可能由于

  · 用户错误的输入了PIN码,导致认证不通过。

  · 用户没有处于允许使用远程桌面网关的安全组内。

  针对以上两点,需要跟用户合作共同排错,首先检查用户的PIN吗是否输入正确,检查用户的智能卡是否在有效期,其次检查用户是否在被允许使用远程桌面网关服务器的安全组内。

  4.3 本章小结

  本章介绍了两类在使用远程桌面网关服务时最常出现的问题,以及介绍了如果调查解决的思路。

  四、 总结

  本文首先介绍了远程桌面网关服务的相关概念;研究了远程桌面网关服务所使用的相关核心协议,每个协议具体的流程步骤;通过较为详细的图示案例,介绍了如何在Windows Server 2008 R2操作系统之上部署远程桌面网关服务;最后介绍了在日常工作中在使用远程桌面网关服务时常遇到的两种问题,并且讨论了解决思路和调查步骤。通过了四章的介绍,相信读者已经对远程桌面网关服务的概念、原理、部署方式以及常见问题和解决方案有了一定的理解。在以后使用由世纪互联所运营的Microsoft Azure公有云平台进行远程资源访问时会更加地得心应手

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。