終端伺服器閘道是windows server 2008 終端伺服器角色中的一個服務角色,它允許授權遠端使用者從任何連接網路的裝置上連接到一個公司內部或專有網路上的資源。網路資源可以是終端伺服器、運行遠端應用的終端伺服器,或是啟用了遠端桌面的電腦。
TS Gateway可以做什麼?
TS Gateway提供了許多的便利,包括:
1、 TS Gateway是遠端使用者能夠透過Internet連接到內部網路的資源,透過使用一個加密的連接,而不需要設定VPN連接;
2、 TS Gateway提供了一個全面的安全配置模型使得你能夠控製到特定內部網路資源的存取;
3、 TS Gateway提供了一個點對點的RDP連接,而不是允許遠端使用者存取所有的內部資源;
4、 TS Gateway能讓大部分遠端使用者透過網路位址轉換( NAT),連接到宿主在內部網路防火牆後面的內部網路資源,使用TS Gateway,你不需要針對此種場景為TS Gateway或客戶端執行額外的配置。
在這個windows server發布之前,安全措施阻止遠端使用者透過防火牆或NAT連接內部網路資源。這是應為端口3389,這個用於RDP連接的端口,通常在防火牆上被出於安全的目的而阻止。 TS Gateway改為傳輸RDP流量到埠443,透過使用一個HTTP的SSL/TLP通道。由於大多數公司開放443連接埠以啟用Intelnet連接, TS Gateway利用這個網路設計來提供遠端存取連接跨越多重防火牆。
TS Gateway插件控制台使你能夠設定授權策略以定義必須符合遠端使用者連線內部資源的條件。例如,你可以指定:
1、誰可以連結網路資源(換句話說,就是能夠連結的使用者群組);
2、什麼網路資源(電腦群組)使用者可以連線;
3、是否客戶端電腦必須是活動目錄安全群組的成員;
4、是否允許設備和磁碟的重定向;
5.是否客戶端需要智慧卡驗證或密碼驗證,或是否可是使用其他的方法。
你可以設定TS Gateway伺服器和終端服務客戶端使用NAP來增強安全。 NAP是健康的策略建立、執行、補救技術,包含在Windows XP Service Pack 2, Windows Vista?, and Windows Server 2008中,使用NAP,系統管理員能夠強制健康請求,包括軟體請求、安全性升級請求,所需的計算機配置,以及其他的設定。
註:當TS Gateway強制NAP時執行Windows Server 2008 的電腦不能用作NAP客戶端,只有執行Windows XP SP2 和Windows VIsta的電腦可以用作NAP客戶端。