1. RD 网关概述
RD 网关 (RD Gateway) 允许用户从外部网络通过 HTTPS(端口 443)安全地连接到企业内部 RDS 环境,无需 VPN。
RD 网关核心功能
- SSL 加密:所有 RDP 流量通过 HTTPS 隧道传输
- 身份验证:集成 NTLM/Kerberos,支持双因素认证
- 资源访问控制:按用户组控制可访问的内部计算机
- 防火墙友好:仅需开放 443 端口
2. 安装 RD 网关
在 RDS01 服务器(192.168.10.249)打开服务器管理器 → "管理" → "添加角色和功能"
在"选择服务器角色"页面,展开远程桌面服务 → 勾选远程桌面网关
点击"下一步"直到"Web 服务器 (IIS)" 角色依赖提示 → 点击"添加功能"确认
继续到"确认"页面 → 点击"安装" → 等待安装完成(无需立即重启)
# 安装 RD 网关和 Web 访问角色
Install-WindowsFeature -Name "RDS-Gateway","RDS-Web-Access" -IncludeManagementTools
# 验证安装
Get-WindowsFeature -Name "RDS-Gateway" | Select-Object Name, InstallState3. 配置 SSL 证书
通过 Web 浏览器访问 AD CS 证书申请页面:https://dc1.iehang.cn/certsrv → 点击"申请证书"
选择"高级证书申请" → "创建并提交此申请" → 选择模板"Web 服务器",填写友好名称 RDS Gateway
在"证书模板"中选择"Web 服务器",在"名称"字段输入 rdgw.iehang.cn(需与 RDS01 服务器的 FQDN 一致)
点击"提交" → CA 自动颁发 → 点击"下载证书链"或"下载 CER 文件",保存到 RDS01 服务器本地磁盘
在 RDS01 服务器运行证书管理器(certlm.msc)→ 右键"个人" → "所有任务" → "导入" → 导入 .cer 文件
打开远程桌面网关管理器(在管理工具中)→ 右键 RD 网关服务器 → "属性" → "SSL 证书"选项卡 → "导入"刚导入的证书
# 从 AD CS 申请证书
$cert = Get-Certificate -TemplateName "WebServer" `
-SubjectName "CN=rdgw.iehang.cn" `
-CertStoreLocation "Cert:\LocalMachine\My" `
-Url "https://dc1.iehang.cn/certsrv"
# 将证书绑定到 RD 网关
Set-RDGatewayConfiguration -AuthenticationModule "Native" `
-CertificateThumbprint $cert.Thumbprint4. RD Web Access 部署
打开 RD 网关管理器 → 右键"策略" → "创建新的 RD 网关访问策略"
输入策略名称(如 Default Gateway Policy),在"用户组"页面点击"添加" → 搜索 IEHANG\Domain Users
在"允许的用户"区域允许 Domain Users,在"允许的计算机"区域可以设置为"允许任何计算机"或指定特定计算机
打开浏览器访问 https://rdgw.iehang.cn/RDWeb 验证 RD Web Access 是否正常工作
# 配置 RD 网关访问策略
New-RDAuthorizationPolicy -UserGroupName "IEHANG\Domain Users" `
-ComputerGroupName "Domain Computers" -AuthMode "Allow"
# 配置 RD Web Access 连接
Set-RDWebAccessBroker -ConnectionBroker "RDS01.iehang.cn"5. 常见问题
确认 RD 网关服务器防火墙(端口 443)、路由器端口映射、SSL 证书有效期、以及 DNS 解析是否正确。
检查 RD 连接代理配置,确认 RDS01 已加入集合,用户组在 RD Web Access 发布范围中。