遠程桌面服務是Windows Server 2008 R2中的一個角色服務，它讓你可以將業務應用的范圍擴展到互聯網上。不用費多大力氣，安裝到RDS服務器上的應用幾乎就可以通過網絡連接交付到任意地點。

當客戶端和服務器連接都位于受保護網絡中時，RDS本身通常是足夠的。但是讓這些應用安全地擴展到互聯網上則需要遠程桌面網關角色服務的附加支持。

這個角色服務可以以多種配置部署，最有效的配置利用面向互聯網的DMZ，聯合反向代理解決方案，比如微軟的Forefront威脅管理網關或都統一訪問網關。

提醒一下，這些額外的服務器并非是絕對必要的。如果優先需要絕對安全，這些服務器的確是個好主意。向現有的RDS環境添加RDG有四種普遍接受的設計。一種選擇是威脅管理網關或統一訪問網關的反向代理支持，這也被認為是行業最佳實踐。如果你想讓所有事情都安裝好且正常工作，下面是按步操作的教程：

1.獲得一個服務器證書。傳輸層安全（TLS）1.0用來加密RDG服務器與相連客戶端間的通訊。為了讓TLS執行。你將需要獲得SSL兼容的X.509服務器證書，它將安裝在RDG服務器上。雖然創建自簽名的證書是可行的，但是一般的最佳實踐是使用從通用憑證管理中心處已經獲得的證書，它參與到微軟的根證書課程成員活動中。

2.搭建新的RDG服務器并安裝證書。作為RDS環境中安全基礎設施的一部分，這個服務器應該專門作為一個RDG服務器運行。這個服務器將運行安裝了RDS角色和RDG角色的Windows Server 2008 R2。它還應該添加到你LAN中使用的活動目錄域中。安裝角色服務之前，每一步是安裝你獲得的證書。仔細留意證書安裝的位置。這必須安裝在本地電腦的Personal Store，這樣易于RDG訪問。注意，這不是現有用戶的Personal Store，有時候為了安裝它可以設置成默認位置。

3.安裝RDG角色服務。證書安裝好了，導航到服務器管理器，安裝RDS角色和RDG角色服務。安裝會要使用的證書。第二步中安裝的證書應該可以在導航面板獲得。如果不能，它要么沒有安裝，要么就是裝到了錯誤的位置上。選擇網關用戶組，它可以通過RDG訪問到內部的RDS資源。

你還會接到要創建一個遠程桌面連接授權策略（RD CAP）和遠程桌面資源授權策略(RD RAP)的要求。RDCAP指定哪個用戶可以通過哪種授權方法（密碼、智能卡或兩個同時使用）來訪問到RDG。RD RAP指定這些用戶在得到授權后可以對哪些內部資源進行操作。這要么是計算機的一個活動目錄組，要么是網絡中的所有計算機。為剩余的所有導航頁選擇默認。

4.調整RD CAP和RD RAP設置。RDG這時候完成安裝了。你安裝后的下一步是調整所有在服務器管理器中遠程桌面網關管理器下面可以找到的所有RDCAP和RDRAP設置。向下導航到連接授權和資源授權策略來打開導航中創建的策略。雙擊任一策略都會帶你前往它的控制面板來進行更多配置，比如設備重定向、附加要求、超時設定、網絡資源、用戶組和許可端口。注意，這些RDCAP和RD RAP設置提供一種機制來限制多種用戶體驗設置在互聯網上的連接，比如限制到本地硬盤驅動的訪問。當用戶通過不受信網絡連接時它們可以用來加強安全。

5.配置反向代理。由于RDG作為外部客戶端和內部資源間的授權點運行，在DMZ中定位它就增加了維護其內部域成員的復雜性。因此，在DMZ中用LAN內部的RDG定位一個反向代既提供了技術又提供了網絡資源，可以用來完成它們做得最好的事情。你的下一步是配置反向代理服務器，啟用其中的設置來切換到內部RDG的通訊。如果這個反向代理是一個微軟威脅管理網關，你可以查看這里詳細的按步操作教程。你還可以查看微軟統一訪問網關的按步操作配置。

6.重配置RemoteApp來和RDG一起使用。最后一步就需要配置所有發布的RemoteApp來通過RDG指向它們的連接。在遠程應用管理器中，查看任一已配置遠程應用的屬性。選擇遠程網關欄，移動單選按鈕來使用這些遠程網關服務器設置。鍵入一個可外部解析的服務器名稱和登錄方法。你可以選擇啟用RDG和托管該RemoteApp的RDSH服務器間的單點登錄。如果你希望從LAN處鏈接時，LAN客戶端直接連接到這個RemoteApp（不通過RDG），你還可以針對本地地址選擇旁路遠程桌面網關服務器。一旦完成，向客戶端重新發布這些RDP或MSI文件，這樣它們才能重新識別新的配置。

如果你正確地執行了所有步驟，恭喜你，你的客戶端現在應該能通過互聯網訪問內部資源了。如果你仍然遇到問題，仔細地留意內外部客戶端間DNS解析的不同之處。當外部客戶端得到的DNS域和內部客戶端使用的DNS域不同時，這尤其值得注意。