终端服务器网关是windows server 2008终端服务器角色中的一个服务角色 ,它允许授权远程用户从任何连接Internet的设备上连接到一个公司内部或专有网络上的资源。网络资源可以是终端服务器、运行远程应用的终端服务器,或者是启用了远程桌面的计算机。
TS Gateway可以做什么?
TS Gateway提供了许多的便利,包括:
1、TS Gateway是远程用户能够通过Internet连接到内部网的资源,通过使用一个加密的连接,而不需要配置 VPN连接;
2、TS Gateway提供了一个全面的安全配置模型使得你能够控制到特定内部网络资源的访问;
3、TS Gateway提供了一个点对点的RDP连接,而不是允许远程用户访问所有的内部资源;
4、TS Gateway能使大部分远程用户通过网络地址转换( NAT),连接到宿主在内部网络防火墙后面的内部网络资源,使用TS Gateway,你不需要针对此种场景为TS Gateway或客户端执行额外的配置。
在这个windows server发布之前,安全措施阻止远程用户通过防火墙或 NAT连接内部网络资源。这是应为端口3389,这个用于RDP连接的端口,通常在防火墙上被出于安全的目的而阻止。TS Gateway改为传输RDP流量到端口443,通过使用一个HTTP的SSL/TLP通道。由于大多公司开放443端口以启用Intelnet连接,TS Gateway利用这个网络设计来提供远程访问连接跨越多重防火墙。
TS Gateway插件控制台使你能够配置授权策略以定义必须符合远程用户连接内部资源的条件。例如,你可以指定:
1、谁可以连接网络资源(换句话说,就是能够连接的用户组);
2、什么网络资源(计算机组)用户可以连接;
3、是否客户端计算机必须是活动目录安全组的成员;
4、是否允许设备和磁盘的重定向;
5、是否客户端需要智能卡验证或密码验证,或者是否他们可是使用其他的方法。
你可以配置TS Gateway服务器和终端服务客户端使用NAP来增强安全。NAP是一个健康的策略创建、执行、补救技术,包含在Windows XP Service Pack 2, Windows Vista, and Windows Server 2008中,使用NAP,系统管理员能够强制健康请求,包括软件请求、安全升级请求,需要的计算机配置,以及其他的设置。
注:当TS Gateway强制 NAP时运行Windows Server 2008的计算机不能用作NAP客户端,只有运行Windows XP SP2和Windows VIsta的计算机可以用作NAP客户端。