引言：将终端服务主机直接连接到Internet上是比较危险的。而使用RD网关，不仅可以对连接者进行安全验证，而且可以通过SSL协议对其进行加密传输。即使内网中存在多台终端服务器，也可以让连接者顺利对其进行访问。

通常，只要黑客探测到了远程桌面/终端服务器主机的IP，洞悉了账户名称及密码，就可以毫不费力的对其进行远程控制。因此，将终端服务主机直接连接到Internet上是比较危险的。另外，如果局域网中存在多台终端服务器，往往需要在防火墙上使用不同的端口将其发布到Internet上，给用户的连接带来了不便。

在Windows Server 2008中，虽然可以使用TS网关，来对连接的身份进行验证，来保护内网的终端服务器的安全。同Windows Server 2008 R2中的RD网关相比，其安全性较差。使用RD网关，不仅可以对连接者进行安全验证，而且可以通过SSL协议对其进行加密传输。即使内网中存在多台终端服务器，也可以让连接者顺利对其进行访问。

安装RD网关服务器

为保证客户端使用远程桌面连接安全传输数据，必须在RD网关服务器上安装SSL安全证书。为便于使用，应先创建允许访问终端服务的账户和组。

在Windows Server 2008 R2中打开服务器管理器窗口，运行“添加角色向导”程序，在“选择服务器角色”窗口中选择“远程桌面服务”，在“下一步”窗口中点击“远程桌面服务简介信息”。点击“下一步”，选择“远程桌面网关”项，在弹出的窗口中点击“添加所需的角色服务”按钮。在“下一步”窗口中选择“为SSL加密选择现有证书（推荐）”项，点击“导入”按钮导入已安装的服务器身份验证证书。在客户端和远程桌面通讯时可使用SSL协议加密通讯数据。

点击“下一步”按钮，选择“现在”项，在“下一步”窗口中配置可以通过Rd网关的用户组，默认包含Administrato rs组。点击“添加”按钮，将允许连接远程桌面的用户组添加进来。在“下一步”窗口中可以更改RD CAP名称，选择“密码”项，作为身份验证方式。点击“下一步”按钮，在“选择角色服务”窗口中勾选“网络策略服务器”项，之后系统会显示需要安装IIS中的相关服务，在“下一步”窗口中显示所需安装的相关服务项，点击“安装”，执行安装动作，在之后的安装结果窗口中显示所有的角色和服务安装成功。

获取数字证书

数字证书的获得可以用多种方法实现。例如，可以使用自签名证书功能。依次点击“开始”、“所有程序”、“管理工具”、“远程桌面服务”、“远程桌面网关服务器”项，在打开窗口左侧选择本地服务器，在右侧窗口中“操作”栏中点击“属性”项，在RD网关属性窗口中的“SSL证书”面板中选择“创建自签名证书”项，点击“创建并导入证书”按钮输入名称。

勾选“存储根证书”项，点击“浏览”按钮，选择证书文件存储位置。点击“确定”按钮，完成证书文件的创建操作。之后根据提示信息重启RD网关服务器。重启之后，在IE地址栏中输入网关域名来查看该值证书是否已生效。在服务器管理器窗口左侧依次选择“远程桌面服务”、“RD会话主机配置”项，在右侧窗口中的“RDPTCP”项的右键菜单中选择“属性”项，在其属性窗口的“常规”面板中的“证书”栏中点击“选择”按钮，在证书列表中选择上述证书项目，点击“确定”完成操作，之后即可在远程桌面环境中对RD网关服务器和客户机之间的通讯进行加密，并且在远程桌面RDP-TCP连接之间也启用加密功能。

在Windows Server 2008 中可以创建证书服务器，可以满足证书的发布、申请、安装、创建等操作。Windows Server 2008支持应用于企业内部的证书服务器和用于Internet的独立证书服务器，前者应用于域环境，需要活动目录的支持，用户可以直接向证书服务器申请并安装证书。后者应用于非域环境，可以安装到任何一台独立的服务器上，当用户向证书服务器申请证书时，必须经由管理员检查后办法才可以颁发使用。在部署了证书服务器后，服务器的名称和域名均不可更改，但是可以更改IP地址。

配置连接授权和资源授权策略

为保证远程桌面连接的安全性，需要在安装RD网关的主机上创建授权策略，其包括连接授权策略CAP和资源授权策略RAP两部分。连接授权的策略的作用是检查访问者是否符合要求。只有符合要求的连接者才可以连接到RD网关。资源授权策略的用途是指定访问者可以通过RD网关连接到的内部的何种资源上。

在运行RD网关服务的主机上依次点击“开始”、“管理工具”、“远程桌面服务”、“远程桌面网关”项，在RD网关管理器左侧的“策略”项的右键菜单上点击“创建授权策略”项，在弹出窗口中选择“创建RD CAP和RD RAP”项，表示同时创建终端服务连接授权策略和管理终端服务资源授权策略。点击“下一步”按钮，输入连接授权策略的名称。在“下一步”窗口中选择“密码”项，表示使用密码安全认证机制。在“用户组成员身份”栏中点击“添加组”按钮，在弹出窗口中搜索并选择所需的用户组，将其导入。点击“下一步”按钮，选择“启用所有客户端设备的设备重定向”项，可以将客户端的磁盘、打印机等设备重定向到被控端。在“下一步”窗口中勾选“启用空闲超时”项，可设置合适的时间值。这样在远程连接建立后，如空闲的时间超过该值，会自动断开会话。勾选“启用会话超时”项，设置合适的时间值。这样，当连接会话的时间到达该值后，可以采取另种处理方法，一种是断开会话连接。一种是断开连接后自动执行验证和重新授权。

依次点击“下一步”按钮，在创建RD RAP窗口中输入资源授权策略名称。在“下一步”窗口中添加和选择对应的用户组，使其可以通过RD网关连接到目标内网资源。点击“下一步”按钮，在选择网络资源窗口中选择允许访问的资源，可以选择Active Directory域服务网络资源组、RD网关服务器场成员列表等。这里选择“允许用户连接到任意网络资源（计算机）”项，表示允许连接者访问内网中的所有主机。在“下一步”窗口中选择允许的TCP端口，默认为TCP 3389端口。也可以选择“允许通过以下端口连接”项，设置别的端口，让连接者通过该端口远程连接网络资源。在“下一步”窗口中点击“完成”按钮，完成终端策略的创建操作。

开启内网主机远程桌面/终端服务

在默认情况下，Windows服务器是禁止使用远程桌面连接的，为此，可以在服务器管理器窗口中展开“服务器摘要”、“计算机信息”项，在其中点击“配置远程桌面”链接，在弹出窗口中的“远程”面板中选择“仅允许经使用网络级别身份验证的远程桌面的计算机连接（更安全）”项，在弹出的提示窗口中点击“确定”按钮，启用远程桌面的防火墙例外功能。点击“选择用户”按钮，在远程桌面用户窗口中显示可以使用远程桌面连接的账户，默认只域管理员账户。点击“添加”按钮，可以将所需的账户和组添加进来。

在客户端配置安全证书

当客户端用户想通过RD网关建立远程桌面连接，必须通过身份验证环节。在安装RD网关服务时，已经提前在服务器中申请了数字证书，只有将该证书安装到客户机上才可以在客户端和RD网关服务器之间建立信任关系，让客户端可以通过RD网关的身份验证操作。在客户机上打开IE浏览器，在地址栏中输入证书服务器的地址。在弹出的登录窗口中输入域用户管理员名称和密码，点击“确定”按钮，在证书服务页面中点击“下载CA证书，证书链或CRL”链接，在弹出页面中点击“下载CA证书”链接，在文件下载窗口中点击“保存”按钮，将证书文件保存到本机中。在该证书文件的属性窗口中点击“安装证书”按钮，在证书导入向导界面中点击“下一步”按钮，在证书存储窗口中点击“浏览”按钮，选择“受信任的跟证书颁发机构”项，在“下一步”窗口中点击“完成”按钮完成操作。

连接RD网关，控制内网终端服务器

当然，RD网关的应用很广泛，管理远程桌面只是其功能之一。让客户端可以通过远程桌面连接程序，经由RD网关远程管理服务器。运行“mstsc.exe”程序，在远程桌面连接窗口中点击“选项”按钮，在“高级”面板中的“如果实际验证不满足最低策略要求”列表中选择“向我发出警告”项。点击“设置”按钮，在设置界面中选择“使用这些TS网关服务器设置”项，输入RD网关服务器的域名，注意不是IP地址。否则的话将无法正常连接，系统会提示服务器地址与证书使用者名称匹配等信息。这样，客户端主机必须可以正确解析该域名。

如果是局域网环境，可以直接执行验证操作。所以可以选择“跳过本地地址的TS网关服务器”项，如果RD网关服务器与内网中受保护的终端服务器的密码相同，可以选中“将我的RD网关凭据用于远程计算机”单选框，如果不同则无需选择该项。保存设置后，在远程桌面连接窗口中“常规”面板中输入终端服务器的IP或者名称，注意，RD网关服务器和终端服务器是有区别的，终端服务器可以隐藏在RD网关服务器的后面。RD网关服务器可以在Internet上拥有独立的域名，而终端服务器只是内网主机，只拥有内网地址，RD网关服务器可以同时拥有外网和内网地址。而且终端服务器可能有多台，用户只需更改连接的IP即可，而连接参数中的RD网关的域名是不能更改的。

例如RD网关域名为“rdp.fdckln.com”， 而内网终端服务器的IP为“192.168.11.11”等。点击“连接”按钮后，在输入用户凭证窗口中输入服务器上的对应账户名和密码，该账户必须在预设的允许连接远程桌面的账户列表中。点击“确定”按钮，在“网关服务器凭据”窗口中输入具有连接终端服务器的域用户名和密码，当通过RD网关的身份认证后，就可以安全的连接到服务器的远程桌面环境中，对其进行远程控制。

使用Web方式，控制内网服务器

除了使用常规的连接程序外，还可以使用IE浏览器操控终端服务。当然，前提是必须在RD服务器上需要安装远程桌面Web访问组件，并且在客户端配置和RD网关安全通讯的证书文件。在IE中输入终端服务器网址。如果在RD网关服务器的Web访问站点激活了Windows身份验证功能，就会显示认证窗口，输入拥有允许访问RD网关服务器的账户名和密码，通过认证后，在远程桌面服务默认连接页面顶部点击“运行ActiveX空间”提示栏，安装所需的ActiveX组件。

在“域/用户名”栏中输入允许连接到RD网关的账户名，在“密码”栏中输入其密码。该账户必须预先在RD授权策略中配置。点击“登录”按钮，连接到RD网关服务器，当连接成功后，点击“远程桌面”链接，在“连接选项”栏中输入终端服务器的内网IP地址，设置远程桌面尺寸。在“设备和资源”栏中选择需要重定向的设备。点击“连接”按钮，在弹出窗口中勾选“剪切板”和“打印机”项，可以让远程主机使用客户机的剪切板和打印机资源。点击“连接”按钮，在输入凭据窗口中输入允许登录终端服务器的账户名和密码，点击“确定”按钮进入远程桌面使用环境，可对远程主机进行各种控制操作。

对RD网关进行管理和监控

当客户端通过RD网关连接到被控机后，在RD网关服务器上可以对其活动进行全面监控。在RD网关管理器窗口左侧选择“监视”项，在右侧窗口显示正在进行的所有连接项目，包括连接的ID、用户ID、用户名等信息。对于可疑的连接项目，可以在其右键菜单上点击“断开此用户的连接”项，可以断开该用户的所有连接。如果点击“断开此链接”项，仅仅断开选定的连接。