【IT168 服务器频道】终端服务网关(TS Gateway)是终端服务角色,允许经授权的远程用户通过因特网连接到终端服务器以及企业网络的工作站上,企业帮助远程或旅行用户无需使用VPN连接就可以使用部分服务器与工作站,更方便、更安全。
TS网关的部分关键优点:
• 使远程用户从互联网安全连接到企业网络资源中,无需复杂的虚拟喜人网络(VPN)连接,提供更安全的模式,允许用户访问部分服务器与工作站,而非通过VPN访问整个企业网络。
• 调解HTTPS协议的安全性与可用性,提供给不带客户配置的终端服务。
• 提供完整的安全配置模式,使管理员可以控制网络中特定资源的路径。
• 使用户可以跨过防火墙和网络地址翻译(NATs)远程连接到终端服务器以及远程工作站
• TS网关通过使用HTTP安全套接层(SSL)隧道传输所有RDP流量(通常会通过端口3389发送)至端口443。这意味着所有用户客户机以及TS网关的流量都将在经过因特网传输时进行加密。
TS网关管理
TS网关管理snap-in控制台使管理员可以配置政策,但使所有用户连接到网络资源必须得到满足。TS网关管理snap-in控制台提供工具,帮助管理员监视TS网关事件。通过使用TS网关管理,用户可以指定事件,如用户希望监视的连接TS网关服务器的不成功的连接尝试。事件发生时,相应事件可以通过使用Event Viewer进行监视。
TS网关管理还可以使IT人员检查细节,这些细节是活动用户连接、设置最大连接限制以及操作其他行动以控制通过TS网关服务器连接网络资源的路径。
终端服务器网关为企业提供安全与辩解的方式,使远程用户在网络内无需进行安装与配置VPN连接,就可以拥有接入服务器以及工作站的路径。全面的安全特点也使管理员可以控制特定资源路径。
TS网关功能性
Windows Server 2008中的TS网关提供一些新的特征,简化管理、增强安全。
连接授权政策(CAPs)
连接授权权政策(Connection authorization policies,CAPs)允许管理员指定用户、用户群以及可访问TS网关服务器的随意计算机组。CAPs通过使用TS网关管理而创建。CAPs提供在企业网络中对于远程计算机路径更高层的控制,因此简化管理,加强安全。
使用CAPs,管理员可以要求用户、用户群以及或电脑组符合访问TS网关服务器的特定条件。特定条件可为每个CAP列出。例如,管理员可以指定连接需求,如智能卡的使用可以定义特定用户群,这种特定用户群得到允许,可以连接到企业网络的资源中;也可以定义特定资源,用户可以连接到这些资源;可以定义特定用户群会员要求,等等。当用户满足或超过包含其组群名、设定在CAP中的条件时,用户可以访问TS网关服务器的路径。
资源组以及资源认可政策(RAPs)
定义CAPs后,必须创建资源组以及定义资源授权政策(RAPs),二者允许用户从TS网关服务器中访问网络中特定远程计算机。使用TS网关管理控制其创建并管理CAPs以及RAPs。
资源组使管理员可以定义远程计算机组,用户可以访问这种远程计算机组。RAPs使用户访问资源组可以得到管理。通过TS网关服务器连接到网络的用户,在满足或超过在RAP中定义的至少一个条件,可以获得在网络中访问指定远程计算机的路径。安全组不手动创建资源组,可以定义为在Active Directory®目录服务中,用于管理访问条件。
为保证相关用户可以访问网络中正确的远程计算机,管理员计划并创建资源组必须谨慎。必须进行评估以决定哪些用户应该拥有访问每个资源组的路径,之后必须创建一个或更多RAPs,以便在有需要时准许户路径。
监控能力
TS网关管理提供检查关于从客户到网络中远程电脑通过TS网关积极连接的信息。这一信息包括客户机IP地址、登陆客户机的用户使用名、与客户机相连的远程电脑名,以及连接闲置的时间长度,如果适用。管理员可以指定希望检测的事件,后使用Event Viewer监测这些事件。
与网络访问保护整合(NAP)
TS网关于网络访问保护(NAP)整合,提高Windows Server 2008中的安全。IT专业人士可以整合TS网关服务器,客户机可以使用NAP。这样,尝试登陆终端服务器的远程用户,如果使用的电脑不符合网络安全要求,TS网关将被拒其绝访问终端服务器。
NAP是健康政策创作物、执行以及纠正技术,包括在Windows Vista 以及 Windows Server 2008之内。有了NAP,系统管理员可以在与TS网关服务器相连的终端服务客户机上执行健康要求。使用NAP,IT员工先确保终端服务机满足企业健康政策需求,之后允许企业网络中的计算机通过TS网关服务器(如需更多NAP信息,请参阅第五章:安全与政策执行)进行连接。
注:NAP技术不适用于TS终端。
关注我们
