解读Windows2008:终端服务器网关
终端服务器网关是 windows server 2008 终端服务器角色中的一个服务角色 ,它允许授权远程用户从任何连接 Internet的设备上连接到一个公司内部或专有网络上的资源。网络资源可以是终端服务器、运行远程应用的终端服务器,或者是启用了远程桌面的计算机。
TS Gateway可以做什么?
TS Gateway提供了许多的便利,包括:
1、 TS Gateway是远程用户能够通过 Internet连接到内部网的资源,通过使用一个加密的连接,而不需要配置 VPN连接;
2、 TS Gateway提供了一个全面的安全配置模型使得你能够控制到特定内部网络资源的访问;
3、 TS Gateway提供了一个点对点的 RDP连接,而不是允许远程用户访问所有的内部资源;
4、 TS Gateway能使大部分远程用户通过网络地址转换( NAT),连接到宿主在内部网络防火墙后面的内部网络资源,使用 TS Gateway,你不需要针对此种场景为 TS Gateway或客户端执行额外的配置。
在这个 windows server发布之前,安全措施阻止远程用户通过防火墙或 NAT连接内部网络资源。这是应为端口 3389,这个用于 RDP连接的端口,通常在防火墙上被出于安全的目的而阻止。 TS Gateway改为传输 RDP流量到端口 443,通过使用一个 HTTP的 SSL/TLP通道。由于大多公司开放 443端口以启用 Intelnet连接, TS Gateway利用这个网络设计来提供远程访问连接跨越多重防火墙。
TS Gateway插件控制台使你能够配置授权策略以定义必须符合远程用户连接内部资源的条件。例如,你可以指定:
1、谁可以连接网络资源(换句话说,就是能够连接的用户组);
2、什么网络资源(计算机组)用户可以连接;
3、是否客户端计算机必须是活动目录安全组的成员;
4、是否允许设备和磁盘的重定向;
5、是否客户端需要智能卡验证或密码验证,或者是否他们可是使用其他的方法。
你可以配置 TS Gateway服务器和终端服务客户端使用 NAP来增强安全。 NAP是一个健康的策略创建、执行、补救技术,包含在Windows XP Service Pack 2, Windows Vista?, and Windows Server 2008中,使用 NAP,系统管理员能够强制健康请求,包括软件请求、安全升级请求,需要的计算机配置,以及其他的设置。
注:当 TS Gateway强制 NAP时运行 Windows Server 2008 的计算机不能用作 NAP客户端,只有运行 Windows XP SP2 和 Windows VIsta的计算机可以用作 NAP客户端。