Terminal Server Gateway ist eine Dienstrolle in der Windows Server 2008-Terminalserverrolle, die es autorisierten Remotebenutzern ermöglicht, von jedem mit dem Internet verbundenen Gerät aus eine Verbindung zu Ressourcen im internen oder privaten Netzwerk eines Unternehmens herzustellen. Die Netzwerkressource kann ein Terminalserver, ein Terminalserver, auf dem eine Remoteanwendung ausgeführt wird, oder ein Remotedesktop-fähiger Computer sein.
Was kann TS Gateway?
TS Gateway bietet viele Annehmlichkeiten, darunter:
1. TS Gateway ist eine Ressource, die es Remote-Benutzern ermöglicht, über eine verschlüsselte Verbindung über das Internet eine Verbindung zu Intranetressourcen herzustellen, ohne dass eine VPN-Verbindung konfiguriert werden muss.
2. TS Gateway bietet ein umfassendes Sicherheitskonfigurationsmodell, mit dem Sie den Zugriff auf bestimmte interne Netzwerkressourcen steuern können.
3. TS Gateway stellt eine Punkt-zu-Punkt-RDP-Verbindung bereit, anstatt Remotebenutzern den Zugriff auf alle internen Ressourcen zu ermöglichen;
4. Mit TS Gateway können die meisten Remote-Benutzer über Network Address Translation (NAT) eine Verbindung zu internen Netzwerkressourcen herstellen, die hinter der internen Netzwerk-Firewall gehostet werden. Für dieses Szenario müssen Sie keine zusätzlichen Schritte für TS Gateway oder Clients ausführen .
Vor der Veröffentlichung von Windows Server verhinderten Sicherheitsmaßnahmen, dass Remotebenutzer über Firewalls oder NAT eine Verbindung zu internen Netzwerkressourcen herstellen konnten. Dies sollte Port 3389 sein. Dies ist der Port, der für RDP-Verbindungen verwendet wird und aus Sicherheitsgründen normalerweise in Firewalls blockiert wird. TS Gateway überträgt stattdessen RDP-Verkehr über einen HTTP-SSL/TLP-Tunnel an Port 443. Da die meisten Unternehmen Port 443 öffnen, um Intelnet-Verbindungen zu ermöglichen, nutzt TS Gateway dieses Netzwerkdesign, um Fernzugriffsverbindungen über mehrere Firewalls hinweg bereitzustellen.
Mit der TS-Gateway-Plug-in-Konsole können Sie Autorisierungsrichtlinien konfigurieren, um die Bedingungen zu definieren, die Remotebenutzer erfüllen müssen, um eine Verbindung zu internen Ressourcen herzustellen. Sie können beispielsweise Folgendes angeben:
1. Wer kann eine Verbindung zu Netzwerkressourcen herstellen (mit anderen Worten, die Benutzergruppe, die eine Verbindung herstellen kann);
2. Mit welchen Netzwerkressourcen (Computergruppen) Benutzer eine Verbindung herstellen können;
3. Ob der Clientcomputer Mitglied der Active Directory-Sicherheitsgruppe sein muss;
4. Ob die Geräte- und Festplattenumleitung zugelassen werden soll;
5. Ob der Client eine Smartcard-Authentifizierung oder eine Passwortauthentifizierung benötigt oder ob er andere Methoden verwendet.
Sie können TS-Gateway-Server und Terminaldienste-Clients so konfigurieren, dass sie NAP verwenden, um die Sicherheit zu erhöhen. NAP ist eine Technologie zur Erstellung, Durchsetzung und Behebung von Integritätsrichtlinien, die in Windows XP Service Pack 2, Windows Vista® und Windows Server 2008 enthalten ist. Mit NAP können Systemadministratoren Integritätsanforderungen, einschließlich Softwareanforderungen und Sicherheitsaktualisierungsanforderungen, durchsetzen , und andere Einstellungen.
Hinweis: Wenn TS Gateway NAP erzwingt, können Computer unter Windows Server 2008 nicht als NAP-Clients verwendet werden. Nur Computer unter Windows XP SP2 und Windows VIsta können als NAP-Clients verwendet werden.