終端服務器網關是 windows server 2008 終端服務器角色中的一個服務角色 ,它允許授權遠程用戶從任何連接 Internet的設備上連接到一個公司內部或專有網絡上的資源。網絡資源可以是終端服務器、運行遠程應用的終端服務器,或者是啟用了遠程桌面的計算機。
TS Gateway可以做什麼?
TS Gateway提供了許多的便利,包括:
1、 TS Gateway是遠程用戶能夠通過 Internet連接到內部網的資源,通過使用一個加密的連接,而不需要配置 VPN連接;
2、 TS Gateway提供了一個全面的安全配置模型使得你能夠控制到特定內部網絡資源的訪問;
3、 TS Gateway提供了一個點對點的 RDP連接,而不是允許遠程用戶訪問所有的內部資源;
4、 TS Gateway能使大部分遠程用戶通過網絡地址轉換( NAT),連接到宿主在內部網絡防火牆後面的內部網絡資源,使用 TS Gateway,你不需要針對此種場景為 TS Gateway或客戶端執行額外的配置。
在這個 windows server發布之前,安全措施阻止遠程用戶通過防火牆或 NAT連接內部網絡資源。這是應為端口 3389,這個用於 RDP連接的端口,通常在防火牆上被出於安全的目的而阻止。 TS Gateway改為傳輸 RDP流量到端口 443,通過使用一個 HTTP的 SSL/TLP通道。由於大多公司開放 443端口以啟用 Intelnet連接, TS Gateway利用這個網絡設計來提供遠程訪問連接跨越多重防火牆。
TS Gateway插件控制台使你能夠配置授權策略以定義必須符合遠程用戶連接內部資源的條件。例如,你可以指定:
1、誰可以連接網絡資源(換句話說,就是能夠連接的用戶組);
2、什麼網絡資源(計算機組)用戶可以連接;
3、是否客戶端計算機必須是活動目錄安全組的成員;
4、是否允許設備和磁盤的重定向;
5、是否客戶端需要智能卡驗證或密碼驗證,或者是否他們可是使用其他的方法。
你可以配置 TS Gateway服務器和終端服務客戶端使用 NAP來增強安全。 NAP是一個健康的策略創建、執行、補救技術,包含在Windows XP Service Pack 2, Windows Vista?, and Windows Server 2008中,使用 NAP,系統管理員能夠強制健康請求,包括軟件請求、安全升級請求,需要的計算機配置,以及其他的設置。
注:當 TS Gateway強制 NAP時運行 Windows Server 2008 的計算機不能用作 NAP客戶端,只有運行 Windows XP SP2 和 Windows VIsta的計算機可以用作 NAP客戶端。