Windows Server网络操作系统项目教程 课件 第9-11章 NAT服务器配置管理、CA服务器配置管理、远程桌面服务

WindowsServer网络操作系统项目教程（WindowsServer2019）（微课版）第9章NAT服务器配置管理重点AKEY知识NAT技术的相关基础知识NAT的工作过程规划部署NAT服务器配置路由和远程访问服务器设置外部网络主机访问内部Web服务器活动目录基础知识技能实践9.1.1NAT技术概述NAT技术是1994年被提出的。简单来说，它就是把内部私有IP地址翻译成合法、有效的网络公有IP地址的技术。装有NAT软件的路由器叫作NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地IP地址的主机都可以在NAT路由器上将其本地IP地址转换成全球IP地址，从而和Internet连接实现与外界的通信。9.1.1NAT技术概述NAT技术不仅能解决IP地址不足的问题，还能够有效地避免来自外部网络的攻击，隐藏并保护内部网络的计算机。NAT技术的作用通过将内部网络的私有IP地址翻译成全球唯一的公有IP地址，使内部网络可以连接到Internet等外部网络上NAT技术的优点节省公共合法IP地址；可处理地址重叠问题；有很强的灵活性与安全性NAT技术的缺点增加了延迟；增加了配置和维护的复杂性；不支持某些应用，但可以通过静态NAT映射来实现这些应用的支持9.1.2NAT的工作过程NAT的工作过程内部客户端主机将数据包发送给NAT服务器NAT服务器将数据包中的端口号和专用IP地址换成它自己的端口号和公用IP地址，并将数据包发给外部网络的目的主机，同时记录一个跟踪信息到映射表中，以便向客户端主机发送回答信息外部网络发送回答信息给NAT服务器NAT服务器将所收到的数据包的端口号和公有IP地址转换为客户端主机的端口号和内部网络使用的私有IP地址并转发给客户端主机9.1.2NAT的工作过程NAT工作过程的网络拓扑结构图如图9.1所示。NAT服务器有两块网卡、两个IP地址，IP地址分别为/24和/24。活动目录基础知识技能实践9.2.1规划部署NAT服务器部署NAT服务器的网络拓扑结构图如图9.2所示。1．项目规划在部署NAT服务器之前需完成如下配置。在服务器server-01上部署域环境，域名为。设置NAT服务器的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。设置NAT客户端的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。NAT服务器必须有两个网络连接，一个连接内部网络（VMnet1为仅主机模式），另一个连接外部网络（VMnet8为NAT模式）。9.2.1规划部署NAT服务器2．环境部署NAT服务器的主机名为server-01，该服务器连接内部局域网网卡的IP地址为00/24，内部网络地址为/24；连接外部网络网卡的IP地址为00/24、默认网关为。内部网络NAT客户端主机win10-user01的IP地址为0/24、网关为00/24。内部网络Web服务器DNS2的IP地址为/24、网关为00/24。Internet中的客户端主机win10-user02的IP地址为0/24、网关为。9.2.2配置路由和远程访问服务器禁用路由和远程访问服务。以管理员账户登录需要添加NAT服务的计算机上，打开“服务器管理器”窗口，选择“工具”→“路由和远程访问”命令，打开“路由和远程访问”窗口，选择“SERVER-01”选项并单击鼠标右键，在弹出的快捷菜单中选择“禁用路由和远程访问”命令（清除VPN实验的影响）。选择“SERVER-01”选项并单击鼠标右键，在弹出的快捷菜单中选择“配置并启动路由和远程访问”命令，弹出“路由和远程访问服务器安装向导”对话框，如图9.3所示单击“下一步”按钮，进入“配置”界面，单击“网络地址转换（NAT）”单选按钮，如图9.4所示。9.2.2配置路由和远程访问服务器单击“下一步”按钮，进入“NATInternet连接”界面，如图9.5所示，单击“使用此公共接口连接到Internet”单选按钮选择使用Ethernet0（外网）连接外部网络，单击“下一步”按钮，进入“正在完成路由和远程访问服务器安装向导”界面，如图9.6所示9.2.3配置和测试NAT客户端计算机外部网络客户端计算机的IP地址等相关参数如图9.7所示内部网络NAT客户端计算机的IP地址等相关参数如图9.8所示。9.2.3配置和测试NAT客户端计算机测试外部网络计算机与NAT服务器、网关的连通性，如图9.9所示测试内部网络NAT客户端计算机与外部网络计算机的连通性，如图9.10所示9.2.4让外部网络主机访问内部Web服务器在内部网络计算机DNS2上安装Web服务器角色，安装过程参考7.2.1小节，这里不赘述。将内部网络计算机DNS2配置为NAT客户端。以管理员账户登录NAT客户端计算机DNS2，在“Internet协议版本4（TCP/IPv4）属性”对话框中，设置默认网关为NAT服务器的内网网卡的IP地址，输入00，单击“确定”按钮。设置端口转换。以管理员账户登录NAT服务器server-01，打开“路由和远程访问”窗口，选择“SERVER-01（本地）”→“IPv4”→“NAT”选项，在右侧窗格中，选择NAT服务器的外网网卡“Ethernet0（外网）”并单击鼠标右键，在弹出的快捷菜单中选择“属性”命令，如图9.11所示9.2.4让外部网络主机访问内部Web服务器弹出“Ethernet0（外网）属性”对话框，如图9.12所示，在“NAT”选项卡的“接口类型”选项组中，单击“公用接口连接到Internet”单选按钮，勾选“在此接口上启用NAT”复选框。选择“地址池”选项卡，可以添加IP地址池，设置接入Internet时ISP分配此地址池中的IP地址，如图9.13所示。9.2.4让外部网络主机访问内部Web服务器选择“服务和端口”选项卡，勾选“服务”列表框中的“Web服务器（HTTP）”复选框，如图9.14所示单击“编辑”按钮，弹出“编辑服务”对话框，在“专用地址”文本框中输入安装Web服务器的内部网络计算机的IP地址，在此输入，如图9.15所示，单击“确定”按钮。9.2.4让外部网络主机访问内部Web服务器从外部网络访问内部网络计算机DNS2上的Web服务器。以管理员账户登录外部网络客户端win10-user02，打开浏览器，在其地址栏中输入00，即可访问内部网络计算机DNS2上的Web服务器，如图9.16所示。9.2.4让外部网络主机访问内部Web服务器在NAT服务器上查看地址转换信息。以管理员账户登录NAT服务器server-01，打开“路由和远程访问”窗口，选择“SERVER-01（本地）”→“IPv4”→“NAT”选项，右侧窗格中将显示NAT服务器正在使用的连接内部网络的网络接口。选择“Ethernet0（外网）”选项并单击鼠标右键，在弹出的快捷菜单中选择“显示映射”命令，打开“SERVER-01-网络地址转换会话映射表格”窗口，如图9.17所示。9.2.5配置DHCP分配器与DNS中继代理NAT服务器还具备以下两个功能。DNS中继代理（DNSProxy）：可以替局域网中的计算机查询IP地址。DHCP分配器（DHCPAllocator）：用来分配IP地址给内部的局域网计算机9.2.5配置DHCP分配器与DNS中继代理1．DHCP分配器修改DHCP分配器的设置。打开“路由和远程访问”窗口，选择“SERVER-01（本地）”→“IPv4”→“NAT”选项并单击鼠标右键，弹出快捷菜单，如图9.18所示选择“属性”命令，弹出“NAT属性”对话框，如图9.19所示。9.2.5配置DHCP分配器与DNS中继代理选择“转换”选项卡，如图9.20所示，保持默认设置，选择“地址分配”选项卡，网络访问转换器可以使用DHCP自动在专用网络上为计算机分配IP地址，勾选“使用DHCP分配器自动分配IP地址”复选框，输入IP地址网段和掩码，如图9.21所示。9.2.5配置DHCP分配器与DNS中继代理单击“排除”按钮，弹出“排除保留的地址”对话框，在“保留地址”列表框下方单击“添加”按钮，添加保留的IP地址，如图9.22所示。9.2.5配置DHCP分配器与DNS中继代理2．DNS中继代理当内部计算机需要查询主机的IP地址时，它们可以将查询请求发送到NAT服务器，并由NAT服务器的DNS中继代理来替它们查询。在“NAT属性”对话框中，选择“名称解析”选项卡，可启动或修改DNS中继代理的设置，勾选“使用域名系统（DNS）的客户端”复选框，如图9.23所示，表示要启用DNS中继代理的功能，以后只要客户端要查询主机的IP地址（这些主机可能位于Internet或内部网络中），NAT服务器就可以代替客户端来向DNS服务器查询。THANKSWindowsServer网络操作系统项目教程（WindowsServer2019）（微课版）第10章CA服务器配置管理重点AKEY知识PKI技术的优势与应用数字证书及其应用规划部署CA服务器配置客户端计算机浏览器信任CA在Web服务器上配置证书服务公钥基础设施和数字证书技能实践数字签名10.1.1PKI的定义及组成PKI是利用公钥密码理论和技术建立起来的，它不针对具体的某一种网络应用，而是提供一个通用性的基础平台，并对外提供了友好的接口。PKI采用证书管理公钥，通过CA把用户的公钥和其他标识信息进行绑定，实现用户身份认证。用户可以利用PKI所提供的安全服务，保证传输信息的保密性、完整性和不可否认性，从而实现安全的通信。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI用公钥概念和技术实施，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性的安全基础设施服务。10.1.1PKI的定义及组成完整的PKI系统包括五大部分。0102030405CA数字证书库密钥备份及恢复系统证书作废系统APIPKI系统10.1.2PKI技术的优势与应用1．PKI技术的优势PKI采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。由于密码技术的采用，保护机密性是PKI得天独厚的优点。由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制扩张，这使得PKI能够成为一种可以服务巨大用户群体的基础设施。PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。PKI具有极强的互连能力。10.1.2PKI技术的优势与应用2．PKI技术的应用（1）VPN企业在架构VPN时会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少的一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言，除了基于防火墙的VPN之外，还可以有其他的结构方式，如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。VPN的基本思想是采用秘密通信通道，用加密的方法来实现。其具体协议一般有3种：PPTP、L2TP和IPSec。10.1.2PKI技术的优势与应用（2）安全电子邮件随着Internet的持续发展，商业机构或政府机构都开始用电子邮件交换一些信息，这就引出了一些安全方面的问题：安全问题信任问题AB消息和附件可以在不为通信双方所知的情况下被读取、篡改或拦截没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造利用数字证书和私钥，用户可以对其所发的电子邮件进行数字签名，这样就可以保证电子邮件的可认证性、完整性和不可否认性。如果证书是由用户所属公司或某一可信任的第三方颁发的，那么收到电子邮件的人就可以信任该电子邮件，而不用管其是否认识发送电子邮件的人。10.1.2PKI技术的优势与应用（3）Web安全浏览Web页面是人们常用的访问Internet的方式。1234诈骗攻击泄露篡改10.1.2PKI技术的优势与应用（4）电子商务的应用PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，可以建立一个可信任和足够安全的网络。其中有可信任的认证中心，典型的如银行、政府或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全、可靠地在网络上进行了。10.1.3数字证书及其应用1．数字证书的基本内容最简单的数字证书包括所有者的公钥、名称及认证机构的数字签名。通常情况下，数字证书还包括证书的序列号、密钥的有效时间、认证机构名称等信息。目前常用的数字证书是X.509格式的，它包括以下几项基本内容。证书的版本信息。证书的序列号，这个序列号在同一个证书机构中是唯一的。证书的认证机构名称。证书所采用的签名算法名称。证书的有效时间。证书所有者的名称。证书所有者的公钥信息。证书认证机构对证书的签名。10.1.3数字证书及其应用在IE浏览器的“Internet选项”对话框中选择“内容”选项卡，单击“证书”按钮，弹出“证书”对话框，从中可以查看本机已经安装的数字证书，如图10.1所示。选择某一个证书，单击“查看”按钮，弹出“证书”对话框，可以查看证书的常规信息、详细信息等，如图10.2和图10.3所示。10.1.3数字证书及其应用2．数字证书的应用数字证书主要应用于各种需要身份认证的场合。保证网上银行的安全通过证书防范网站被假冒发送安全邮件屏蔽插件安装窗口防止网上投假票保护Office文档安全公钥基础设施和数字证书技能实践数字签名10.2.1数字签名概述数字签名（又称公钥数字签名）是只有信息的发送者才能生成的、别人无法伪造的一段数字，这段数字同时是对信息发送者所发送信息真实性的有效证明。它是一种类似写在纸上的普通的物理签名，使用了公钥加密领域的技术来实现，它是用于鉴别数字信息的方法。一套数字签名通常定义了两种互补的运算：一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。10.2.1数字签名概述1．数字签名的特点鉴权公钥加密系统允许任何人在发送信息时使用公钥进行加密，在接收信息时使用私钥解密。鉴权的重要性在财务数据上表现得尤为突出完整性虽然加密使得第三方想要读取数据变得十分困难，但是第三方仍然能采取可行的方法在传输的过程中修改数据，而数字签名就可以验证数据的完整性不可抵赖性消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名以证明信息的来源10.2.1数字签名概述2．数字签名的主要功能因为私钥只有签名者自己知道，所以其他人不可能进行伪造防冒充（伪造）在网络环境下，接收方通过数字签名能够鉴别发送方所宣称的身份可鉴别身份对于数字签名，签名与原有文件已经形成一个混合的整体数据，不可能被篡改防篡改（保证信息的完整性）在数字签名中，如果对签名报文采用了添加流水号、时间戳等技术，则可以防止重放攻击防重放在数字签名体制中，要预防接收方的抵赖，需要求接收方在收到信息后，返回一个自己签名的表示收到的报文给发送方或者第三方防抵赖数字签名可以加密要签名的消息，当然，如果签名的报文不要求机密性，也可以不用加密机密性（保密性）10.2.2数字签名的实现方法一个完善的数字签名应该解决3个问题。020103接收方能够核实发送方的报文的签名，如果当事双方对签名真伪发生争议，则应该能够在第三方的监督下通过验证签名来确认其真伪发送方事后不能否认自己对报文的签名任何人都不能伪造发送方签名，也不能对接收或发送的信息进行篡改、伪造10.2.2数字签名的实现方法数字签名的实现思想假设发送方A要发送一个报文信息S给接收方B，那么A采用私钥SKA对报文S进行解密运算（可以把这里的解密看作一种数学运算，而不是一定要经过加密运算的报文才能进行解密。这里A并非为了加密报文，而是为了实现数字签名），实现对报文的签名，并将结果DSKA（S）发送给接收方B。B在接收到DSKA（S）后，采用已知的A的公钥PKA对报文进行加密运算，就可以得到S=EPKA（DSKA（S）），核实签名，其实现过程如图10.4所示。10.2.2数字签名的实现方法为了使报文在传输过程中实现加密，采用如下方法：在将报文DSKA（S）发送出去之前，先用B的公钥PKB对报文进行加密；B在接收到报文后，先用私钥SKB对报文进行解密，再验证签名，这样可以达到加密和数字签名的双重效果，实现具有保密性的数字签名，其实现过程如图10.5所示。10.2.2数字签名的实现方法数字签名的功效能确定消息的完整性，因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字摘要的值也将发生变化能确定消息确实是由发送方签名并发出的，因为别人假冒不了发送方的签名不同的文件将得到不同的数字摘要。一次数字签名涉及一个哈希函数、接收方的公钥、发送方的私钥。公钥基础设施和数字证书技能实践数字签名10.3技能实践若使用WindowsServer2019的ADCS来提供CA服务，则可以选择将CA设置为以下角色之一。企业根CA（EnterpriseRootCA）企业从属CA（EnterpriseSubordinateCA）独立根CA（StandaloneRootCA）独立从属CA（StandaloneSubordinateCA）10.3.1规划部署CA服务器实现网站SSL连接访问，部署CA服务器的网络拓扑结构图如图10.6所示。1．项目规划在部署CA服务器之前需完成如下配置。在服务器server-01上部署域环境，域名为。设置CA服务器的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。设置CA客户端的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。10.3.1规划部署CA服务器2．环境部署CA服务器的主机名为server-01，该主机既是域控制器、DNS服务器、Web服务器，又是CA服务器，连接外部网络网卡的IP地址为00/24，默认网关为。CA客户端（Web客户端）win10-user01的IP地址为0/24，网关为。10.3.2安装证书服务并部署独立根CA1．安装证书服务以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“管理”→“添加角色和功能”命令，打开“添加角色和功能向导”窗口，持续单击“下一步”按钮，直到进入“选择服务器角色”界面，如图10.7所示，勾选“ActiveDirectory证书服务”复选框，在弹出的“添加角色和功能”对话框中单击“添加功能”按钮10.3.2安装证书服务并部署独立根CA持续单击“下一步”按钮，直到进入“选择角色服务”界面，在“角色服务”列表框中，勾选“证书颁发机构”“证书颁发机构Web注册”“证书注册Web服务”“证书注册策略Web服务”复选框，如图10.8所示，在随后弹出的对话框中单击“添加功能”按钮，持续单击“下一步”按钮，直到进入确认安装所选内容界面，单击“安装”按钮。安装完成后，单击“关闭”按钮，重新启动计算机。10.3.2安装证书服务并部署独立根CA2．部署独立根CA打开“服务器管理器”窗口，在“仪表板”右侧单击黄色正三角形图标，弹出“部署后配置”对话框，如图10.9所示单击“配置目标服务器上的ActiveDirectory证书服务”链接，打开“ADCS配置”窗口，如图10.10所示10.3.2安装证书服务并部署独立根CA单击“下一步”按钮，进入“角色服务”界面，如图10.11所示，勾选“证书颁发机构”“证书颁发机构Web注册”“证书注册策略Web服务”复选框单击“下一步”按钮，进入“设置类型”界面，如图10.12所示。10.3.2安装证书服务并部署独立根CA单击“独立CA”单选按钮，单击“下一步”按钮，进入“CA类型”界面，如图10.13所示单击“根CA”单选按钮，单击“下一步”按钮，进入“私钥”界面，如图10.14所示。10.3.2安装证书服务并部署独立根CA单击“创建新的私钥”单选按钮，单击“下一步”按钮，进入“CA的加密”界面，如图10.15所示单击“下一步”按钮，进入“CA名称”界面，如图10.16所示10.3.2安装证书服务并部署独立根CA指定CA名称，单击“下一步”按钮，进入“有效期”界面，如图10.17所示，指定有效期，CA的有效期默认为5年单击“下一步”按钮，进入“CA数据库”界面，如图10.18所示10.3.2安装证书服务并部署独立根CA指定数据库的位置，单击“下一步”按钮，进入“CEP的身份验证类型”界面，如图10.19所示，单击“Windows集成身份验证”单选按钮单击“下一步”按钮，进入“服务器证书”界面，如图10.20所示10.3.2安装证书服务并部署独立根CA单击“为SSL加密选择现有证书（推荐）”单选按钮，指定服务器身份验证证书，单击“下一步”按钮，进入“确认”界面，如图10.21所示单击“配置”按钮，显示进度安装过程，最后进入“结果”界面，如图10.22所示，单击“关闭”按钮，完成独立根CA的配置。10.3.2安装证书服务并部署独立根CA打开“服务器管理器”窗口，选择“工具”→“证书颁发机构”命令，打开“certsrv-[证书颁发机构（本地）]”窗口，如图10.23所示。10.3.2安装证书服务并部署独立根CA3．DNS服务器配置与测试网站准备在域控制器server-01上配置DNS服务器，相应操作如图10.24所示。新建网站SSL-test-01，相应操作如图10.25所示。10.3.2安装证书服务并部署独立根CA为了测试SSL-test-01网站是否正常，在网站主目录（D:\web）下创建index.html首页文件，文件内容为“welcometohere!”，在Web客户端上进行访问测试，如图10.26所示。10.3.3配置客户端计算机浏览器信任CA以管理员账户登录域控制器server-01，正确配置DNS服务器与Web网站，开启默认Web站点（DefaultWebSite）。在客户端计算机（win10-user01）上打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，如图10.27所示。单击“下载CA证书、证书链或CRL”链接，进入“下载CA证书、证书链或CRL”页面，单击“下载CA证书”链接，在弹出的提示对话框中单击“保存”按钮右侧的下拉按钮，在下拉列表中选择“另存为”选项，如图10.28所示，将证书下载到本地C:\cert文件夹中，其默认文件名为certnew.cer。10.3.3配置客户端计算机浏览器信任CA按“Win+R”组合键，弹出“运行”对话框，输入mmc命令，单击“确定”按钮，打开“控制台1-[控制台根节点]”窗口，选择“文件”→“添加/删除管理单元”命令，如图10.29所示弹出“添加或删除管理单元”对话框，如图10.30所示。10.3.3配置客户端计算机浏览器信任CA在“可用的管理单元”列表框中选择“证书”选项，单击“添加”按钮，弹出“证书管理单元”对话框，如图10.31所示，单击“计算机账户”单选按钮，单击“下一步”按钮弹出“选择计算机”对话框,单击“本地计算机（运行此控制台的计算机）”单选按钮，如图10.32所示，单击“完成”按钮，返回“控制台1-[控制台根节点]”窗口。10.3.3配置客户端计算机浏览器信任CA在“控制台1-[控制台根节点]”窗口中，选择“控制台根节点”→“证书（本地计算机）”→“受信任的根证书颁发机构”→“证书”选项并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“导入”命令，如图10.33所示，弹出“证书导入向导”对话框，如图10.34所示。10.3.3配置客户端计算机浏览器信任CA单击“下一步”按钮，进入“要导入的文件”界面，如图10.35所示选择要导入文件的路径，单击“下一步”按钮，进入“证书存储”界面，如图10.36所示。10.3.3配置客户端计算机浏览器信任CA单击“将所有的证书都放入下列存储”单选按钮，单击“下一步”按钮，进入“正在完成证书导入向导”界面，如图10.37所示单击“完成”按钮，弹出“导入成功”提示对话框，如图10.38所示。10.3.3配置客户端计算机浏览器信任CA单击“确定”按钮，返回“控制台1-[控制台根节点]”窗口，选择“控制台根节点”→“证书（本地计算机）”→“受信任的根证书颁发机构”→“证书”选项，在右侧窗格中可以查看刚刚导入的证书abc-SERVER-01-CA，如图10.39所示。10.3.4在Web服务器上配置证书服务1．在网站上创建证书申请文件以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“工具”→“InternetInformationServices（IIS）管理器”命令，打开“InternetInformationServices（IIS）管理器”窗口，选择“SERVER-01（ABC\Administrator）”选项，在右侧窗格中选择“服务器证书”选项，如图10.40所示，双击“服务器证书”选项，进入“服务器证书”界面，如图10.41所示。10.3.4在Web服务器上配置证书服务在“操作”选项组中单击“创建证书申请”链接，弹出“申请证书”对话框，指定证书的必需信息（注：此处的通用名称一定要与需要保护的Web网站的名称一致，即“DNS1.”），如图10.42所示，单击“下一步”按钮，进入“加密服务提供程序属性”界面，如图10.43所示。单击“下一步”按钮，进入“文件名”界面，为证书申请指定文件名与存储位置，如图10.44所示，单击“完成”按钮，完成证书申请。10.3.4在Web服务器上配置证书服务2．申请证书与下载证书以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“本地服务器”选项，在右侧窗格中，选择“IE增强的安全配置”选项，单击“启动”按钮，弹出“InternetExplorer增强的安全配置”对话框，在“管理员”选项组中单击“关闭”单选按钮，如图10.45所示。10.3.4在Web服务器上配置证书服务打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，单击“申请证书”→“高级证书申请”链接，进入“高级证书申请”界面，如图10.46所示。在开始下一个步骤之前，先利用记事本打开前面的证书申请文件“D:\cert\web-cert.txt”，再复制整个文件的内容，如图10.47所示。10.3.4在Web服务器上配置证书服务在“高级证书申请”界面中，单击“使用base64编码的CMC……”链接，进入“提交一个证书申请或续订申请”界面，将复制的证书申请文件内容粘贴到“保存的申请”列表框中，如图10.48所示单击“提交”按钮，进入“证书正在挂起”界面，如图10.49所示。10.3.4在Web服务器上配置证书服务开“服务器管理器”窗口，选择“工具”→“证书颁发机构”命令，选择“证书颁发机构（本地）”→“abc-SERVER-01-CA”→“挂起的申请”选项，在右侧窗格中选择证书请求并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“颁发”命令，如图10.50所示。该证书由“挂起的申请”文件夹移动到“颁发的证书”文件夹中，选择“颁发的证书”选项，查看颁发的证书，如图10.51所示。因为独立根CA默认不会自动颁发证书，所以需要等待CA系统管理员发放此证书后，再连接CA下载证书，该证书ID为2。10.3.4在Web服务器上配置证书服务回到域控制器server-01上，打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，单击“查看挂起的证书申请的状态”链接，进入“查看挂起的证书申请的状态”界面，如图10.52所示单击“保存的申请证书……”链接，进入“证书已颁发”界面，单击“Base64编码”单选按钮，单击“下载证书”链接，在弹出的提示对话框中单击“保存”按钮，如图10.53所示，将证书保存到本地，其默认文件名为certnew.cer。10.3.4在Web服务器上配置证书服务3．安装证书打开“服务器管理器”窗口，选择“工具”→“InternetInformationServices（IIS）管理器”命令，打开“InternetInformationServices（IIS）管理器”窗口，选择“SERVER-01（ABC\Administrator）”选项，在右侧窗格中双击“服务器证书”选项，进入“服务器证书”界面，如图10.54所示，在“操作”选项组中单击“完成证书申请”链接，弹出“完成证书申请”对话框，如图10.55所示。10.3.4在Web服务器上配置证书服务设置包含证书颁发机构响应的文件名和易记名称，单击“确定”按钮，返回“服务器证书”界面，完成证书申请，如图10.56所示。选择SSL-test-01网站，在右侧窗格中，单击“绑定”链接，弹出“网站绑定”对话框，单击“添加”按钮，弹出“添加网站绑定”对话框，在“类型”下拉列表中选择“https”选项，输入IP地址、端口和主机名，在“SSL证书”下拉列表中选择“DNS1.”选项，如图10.57所示。10.3.4在Web服务器上配置证书服务单击“确定”按钮，返回“网站绑定”对话框，如图10.58所示单击“关闭”按钮，返回“InternetInformationServices（IIS）管理器”窗口，如图10.59所示。10.3.4在Web服务器上配置证书服务4．测试SSL连接（win10-user01）在“InternetInformationServices（IIS）管理器”窗口中，选择“SSL-test01”选项，在“操作”选项组中单击“http://DNS1.”链接，打开“http://DNS1.”网站窗口，如图10.60所示，单击“00”链接，打开“00”网站窗口，如图10.61所示，可以进入警告界面，表示这台客户端主机（win10-user01）并未信任发放SSL证书的CA。10.3.4在Web服务器上配置证书服务系统默认不强制客户端利用https的SSL方式来连接网站，因此也可以通过http方式来连接网站。若要采取强制方式，则可以针对整个网站、单一文件夹或单一文件进行设置，以SSL-test01网站为例，选择“SSL-test01”网站，在右侧窗格中双击“SSL设置”选项，进入“SSL设置”界面，勾选“要求SSL”复选框，单击“操作”选项组中的“应用”链接，如图10.62所示，此时再访问“http://DNS1.”网站，可以看到已经无法访问，因为需要SSL链接，如图10.63所示。10.3.4在Web服务器上配置证书服务打开IE浏览器，访问“https://DNS1.”网站，如果此时进入“不匹配的地址”警告界面，如图10.64所示在浏览器地址栏中输入“https://DSN1.”，正常访问网站情况如图10.65所示。THANKSWindowsServer网络操作系统项目教程（WindowsServer2019）（微课版）第11章远程桌面服务重点AKEY知识远程桌面服务的组件及其功能安装RDS服务器角色发布应用程序客户端使用RDWeb访问RDS服务器远程桌面连接服务器远程桌面服务基础知识技能实践11.1.1远程桌面服务简介远程桌面服务（RemoteDesktopService，RDS）是微软公司的桌面虚拟化解决方案的统称。管理员在RDS服务器上集中部署应用程序，以虚拟化的方式为用户提供访问，用户不用再在自己的计算机上安装应用程序。RDS分为终端和中心服务器，中心服务器为终端提供服务及资源。11.1.1远程桌面服务简介RDS的终端主要包含如下类型。瘦客户端一种小型计算机，没有高速的CPU和大容量的内存、没有硬盘，使用固化的小型操作系统，通过网络使用服务器的计算和存储资源PC通过安装并运行终端仿真程序，PC可以连接并使用服务器的计算和存储资源手机终端一种手机无线网络收发端的简称，包含发射器（手机）、接收器（网络服务器）。使用手机通过远程桌面协议（RemoteDesktopProtocol，RDP）远程连接PC11.1.2RDS的组件及其功能介绍负责管理到RDSH集合的传入远程桌面连接，以及控制到RDVH集合和RemoteApp的连接远程桌面连接代理（RDCB）为用户提供一个单一的Web入口，使得用户可以通过该入口访问Windows桌面和发布出来的应用程序远程桌面Web访问（RDWA）提供基于会话的远程桌面和应用程序集合，使得众多用户可以同时使用一台服务器，但用户不具备管理权限远程桌面会话主机（RDSH）使得来自互联网的用户可以安全地访问内部Windows桌面和应用程序远程桌面网关（RDG）供个人或池化Windows桌面宿主服务，使得用户可以像使用PC一样使用其上的虚拟机，可以提供管理员权限，给用户带来更高的自由度远程桌面虚拟化主机（RDVH）提供远程桌面连接授权，授权方式可以是“每设备”或“每用户”远程桌面授权服务器（RDLS）根据不同的部署模型，还会应用到SQLServer、FileServer、网络负载平衡（NetworkLoadBalancing，NLB）服务等。RDS部署的前提条件是已安装AD。远程桌面服务基础知识技能实践11.2.1安装RDS服务器角色以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“管理”→“添加角色和功能”命令，打开“添加角色和功能向导”窗口，单击“下一步”按钮，进入“选择安装类型”界面，如图11.1所示单击“远程桌面服务安装”单选按钮，单击“下一步”按钮，进入“选择部署类型”界面，单击“快速启动”单选按钮，如图11.2所示。11.2.1安装RDS服务器角色单击“下一步”按钮，进入“选择部署方案”界面，如图11.3所示单击“基于会话的桌面部署”单选按钮，单击“下一步”按钮，进入“选择服务器”界面，如图11.4所示11.2.1安装RDS服务器角色选择服务器，单击“下一步”按钮，进入“确认选择”界面，如图11.5所示，勾选“需要时自动重新启动目标服务器”复选框，单击“部署”按钮，进入“查看进度”界面，如图11.6所示，安装完成后，单击“关闭”按钮即可。11.2.2发布应用程序以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“远程桌面服务”→“集合”→“QuickSessionCollection”选项，如图11.7所示在右侧的“RemoteApp程序”选项组中单击“任务”下拉按钮，在弹出的下拉列表中选择“发布RemoteApp程序”选项，打开“发布RemoteApp程序”窗口，勾选“双核浏览器”复选框，如图11.8所示。以谷歌公司发布的浏览器为例进行介绍，具体操作步骤如下。11.2.2发布应用程序单击“下一步”按钮，进入“确认”界面，如图11.9所示，选择“双核浏览器”选项，单击“发布”按钮，进入“完成”界面，如图11.10所示，单击“关闭”按钮，返回“服务器管理器”窗口，如图11.11所示，可以看到“双核浏览器”在RDWeb访问中是可见的。11.2.3在客户端使用RDWeb访问RDS服务器打开客户端浏览器，在其地址栏中输入00/RDWeb