由于远程桌面主机在内网,其计算机名称只能在内网解析,所以在将RemoteAPP主机通过防火墙发布到Internet时,Internet用户在连接RemoteAPP主机时,由于这些内网的计算机名称不能解析,所以需要编辑本地的hosts文件解析。
另外,远程桌面主机的“证书”属于“自签名”证书,在每次连接的时候都会有错误提示,这影响使用效率。通常情况下,解决这个问题的方法是:
(1)你需要有一个域名,并且需要创建一个A记录,指向RemoteApp主机的防火墙地址。例如我有一个域名heuet.com,我可以创建一个heinfo的A记录,指向我的RemoteApp防火墙的地址202.206.194.114。
(2)为RemoteApp主机申请一个证书,证书名称应该与上一步中的域名相同,例如我需要申请一个名为heinfo.heuet.com的“服务器证书”。你可以在企业网络中使用Windows Server自带的独立证书服务器或Windows企业证书服务器,颁发一个证书。
(3)修改RemoteApp会话主机,用第(2)步申请的证书。
(4)为RDWEB站点绑定(2)步中申请的证书。
(5)修改RemoteApp管理器,修改名称为heinfo.heuet.com。
(6)编辑RemoteApp服务器的hosts文件,将heinfo.heuet.com解析到RemoteApp本身的IP地址。
本节将通过图1的网络拓扑介绍这些。
图1 RemoteApp虚拟化主机网络拓扑
在图1中,RemoteApp主机内网地址是172.18.96.250,加入到Active Directory,网络中另有一台计算机(IP为172.18.96.4)安装了独立根证书服务器。202.206.194.114的防火墙是安装了Forefront TMG 2010的一台服务器。本节的内容是将RemoteApp主机的443与3389端口发布到Internet,供Internet计算机使用。
1 为远程桌面主机申请证书
在RemoteApp主机上,登录http://172.18.96.4/certsrv,申请名为heinfo.heuet.com的“服务器身份验证证书”,在申请证书的时候,要“标记密钥为可导出”,如图2所示。
图2 申请证书
申请证书之后,使用mmc管理控制台,添加“证书-当前用户”和“证书(本地计算机)”管理单元,在“证书-当前用户”中将heinfo.heuet.com的证书导出并导出私钥,然后在“证书(本地计算机)”管理单元中导入heinfo.heuet.com的证书。同时,要在“证书(本地计算机)→受信任的根证书颁发机构”中导入为heinfo.heuet.com颁发证书的证书服务器的根证书文件。
2 配置RemoteApp主机
在RemoteApp主机上,打开“RemoteApp管理器”,可以看到当前会话主机名称为“tmgserver.heinfo.net”,需要将其修改为heinfo.heuet.com。在“RD会话主机服务器设置”后面单击“更改”链接,如图3所示。
图3 当前会话主机为tmgserver.heinfo.net
在打开的“RemoteApp部署设置”对话框中,在“RD会话主机服务器”选项卡中,将“服务器的名称”修改为heinfo.heuet.com,如图4所示。
图4 修改会话主机
在“数字签名”选项卡中,单击“使用数字证书签名”并选择heinfo.heuet.com的证书,如图5所示。设置之后单击“确定”按钮。
图5 数字签名
3 配置远程会话主机
打开“远程桌面会话主机配置”,在“RD会话主机配置”节点中,双击右侧的“RDP-TCP”,如图6所示。
图6 RDP-TCP属性
在“常规”选项卡中,单击“选择”按钮,选择heinfo.heuet.com的证书(可以通过“单击此处查看证书属性”)链接查看证书的名称,如图7所示。
图7 查看证书的名称
设置之后,可以在“证书”选项中看到当前会话主机的证书名称为heinfo.heuet.com,如图8所示,单击“确定”按钮完成设置。
图8 更改会话主机证书
4 编辑hosts文件
打开c:\windows\system32\drivers\etc\hosts文件,添加如下一行
172.18.96.250 heinfo.heuet.com
然后保存退出,如图9所示。
图9 修改hosts文件
5 发布网站
最后在Forefront TMG的服务器中,发布heinfo.heuet.com的Web站点(使用HTTPS协议)到172.18.96.250,这些不一一介绍。
而Internet的客户端登录https://heinfo.heute.com/rdweb即可访问RemoteApp站点。
【说明】Internet的客户端计算机需要信任为heinfo.heuet.com颁发证书的证书颁发机构,你可以将证书颁发机构的CA证书(登录http://172.18.96.4/certsrv,在首页单击“下载 CA 证书、证书链或 CRL→下载 CA 证书”,将下载的certsrv.cer发给Internet用户,让其信任证书颁发机构)。