Windows Server 2008:终端服务网关
【IT168 服务器频道】终端服务网关(TS Gateway)是终端服务角色,允许经授权的远程用户通过因特网连接到终端服务器以及企业网络的工作站上,企业帮助远程或旅行用户无需使用VPN连接就可以使用部分服务器与工作站,更方便、更安全。
TS网关的部分关键优点:
• 使远程用户从互联网安全连接到企业网络资源中,无需复杂的虚拟喜人网络(VPN)连接,提供更安全的模式,允许用户访问部分服务器与工作站,而非通过VPN访问整个企业网络。
• 调解HTTPS协议的安全性与可用性,提供给不带客户配置的终端服务。
• 提供完整的安全配置模式,使管理员可以控制网络中特定资源的路径。
• 使用户可以跨过防火墙和网络地址翻译(NATs)远程连接到终端服务器以及远程工作站
• TS网关通过使用HTTP安全套接层(SSL)隧道传输所有RDP流量(通常会通过端口3389发送)至端口443。这意味着所有用户客户机以及TS网关的流量都将在经过因特网传输时进行加密。
TS网关管理
TS网关管理snap-in控制台使管理员可以配置政策,但使所有用户连接到网络资源必须得到满足。TS网关管理snap-in控制台提供工具,帮助管理员监视TS网关事件。通过使用TS网关管理,用户可以指定事件,如用户希望监视的连接TS网关服务器的不成功的连接尝试。事件发生时,相应事件可以通过使用Event Viewer进行监视。
TS网关管理还可以使IT人员检查细节,这些细节是活动用户连接、设置最大连接限制以及操作其他行动以控制通过TS网关服务器连接网络资源的路径。
终端服务器网关为企业提供安全与辩解的方式,使远程用户在网络内无需进行安装与配置VPN连接,就可以拥有接入服务器以及工作站的路径。全面的安全特点也使管理员可以控制特定资源路径。
TS网关功能性
Windows Server 2008中的TS网关提供一些新的特征,简化管理、增强安全。
连接授权政策(CAPs)
连接授权权政策(Connection authorization policies,CAPs)允许管理员指定用户、用户群以及可访问TS网关服务器的随意计算机组。CAPs通过使用TS网关管理而创建。CAPs提供在企业网络中对于远程计算机路径更高层的控制,因此简化管理,加强安全。
使用CAPs,管理员可以要求用户、用户群以及或电脑组符合访问TS网关服务器的特定条件。特定条件可为每个CAP列出。例如,管理员可以指定连接需求,如智能卡的使用可以定义特定用户群,这种特定用户群得到允许,可以连接到企业网络的资源中;也可以定义特定资源,用户可以连接到这些资源;可以定义特定用户群会员要求,等等。当用户满足或超过包含其组群名、设定在CAP中的条件时,用户可以访问TS网关服务器的路径。
资源组以及资源认可政策(RAPs)
定义CAPs后,必须创建资源组以及定义资源授权政策(RAPs),二者允许用户从TS网关服务器中访问网络中特定远程计算机。使用TS网关管理控制其创建并管理CAPs以及RAPs。
资源组使管理员可以定义远程计算机组,用户可以访问这种远程计算机组。RAPs使用户访问资源组可以得到管理。通过TS网关服务器连接到网络的用户,在满足或超过在RAP中定义的至少一个条件,可以获得在网络中访问指定远程计算机的路径。安全组不手动创建资源组,可以定义为在Active Directory®目录服务中,用于管理访问条件。
为保证相关用户可以访问网络中正确的远程计算机,管理员计划并创建资源组必须谨慎。必须进行评估以决定哪些用户应该拥有访问每个资源组的路径,之后必须创建一个或更多RAPs,以便在有需要时准许户路径。
监控能力
TS网关管理提供检查关于从客户到网络中远程电脑通过TS网关积极连接的信息。这一信息包括客户机IP地址、登陆客户机的用户使用名、与客户机相连的远程电脑名,以及连接闲置的时间长度,如果适用。管理员可以指定希望检测的事件,后使用Event Viewer监测这些事件。
与网络访问保护整合(NAP)
TS网关于网络访问保护(NAP)整合,提高Windows Server 2008中的安全。IT专业人士可以整合TS网关服务器,客户机可以使用NAP。这样,尝试登陆终端服务器的远程用户,如果使用的电脑不符合网络安全要求,TS网关将被拒其绝访问终端服务器。
NAP是健康政策创作物、执行以及纠正技术,包括在Windows Vista 以及 Windows Server 2008之内。有了NAP,系统管理员可以在与TS网关服务器相连的终端服务客户机上执行健康要求。使用NAP,IT员工先确保终端服务机满足企业健康政策需求,之后允许企业网络中的计算机通过TS网关服务器(如需更多NAP信息,请参阅第五章:安全与政策执行)进行连接。
注:NAP技术不适用于TS终端。
终端服务网络接入
终端服务网络访问(TS Web Access)是终端服务角色,允许管理员使用户无需用户安装任何软件,就可以从网络浏览器使用终端服务远程App程序。拥有TS网络访问(TS Web Access),用户可以访问网站并且获得所有可用应用列表。当用户开始所列的程序之一,终端服务session为该用户自动开始,该用户位于基于Windows Server 2008的终端服务器中,该终端服务器为该应用做主机。对用户而言,网络界面提供了集中菜单,显示目前可用的全部远程应用;运行中的远程应用如同选择菜单中的程序一样简单。
TS Web access安装到Windows Server 2008网络服务器后,用户可以连接TS网络访问服务器,访问一台以上基于Windows Server 2008终端服务器的可用远程程序。TS Web Access的优点有:
• 用户可以通过互联网或企业内部网从一个网站访问远程程序(Using Remote Programs)。点击程序图标即开始远程程序。
• 使用远程程序(Using Remote Programs),程序会在运行本地计算机时出现。
• 如果用户启用多个Remote Program,同时程序在同一台终端服务器上运行,则程序在相同的终端服务器session中运行。
• 使用TS Web Access,上级管理会减少。中央地点可以轻松配置程序,因为程序在终端服务器上运行,而不在客户机算机上运行,所以服务器更容易维护。
• TS Web Access 提供最小配置的解决方案。TS Web Access网络页面包括自定义的网络部分,这部分可以与自定义的网络页面或Microsoft Windows SharePoint®服务页整合。
• 如果Group Policy软件分配远程程序配置Remote Programs,出现在终端服务远程程序网络部分中的可用程序列表可以用户化为个人用户。
• TS Web Access可以用于提供访问整个桌面的路径。
使用TS Web Access可以减少上一级管理,中央地点访问程序也十分便捷。程序在终端服务器上运行,不在客户计算机上运行,所以IT人员拥有维护、更新应用的单一实例。
增强网络体验
较之终端服务早先的版本,TS Web Access提供大力完善的网络体验。改善包括:
• 拥有TS Web Access,用户不必开始远程桌面连接(RDC)客户才能启动Remote Program。相反,用户可以访问网络页面,再点击程序图标。
• Remote Programs自身运行在本地桌面上。
• 如果用户开始多个程序并且这些程序全部运行在同一个终端服务器上,则程序也运行在同一个终端服务器session中。
• 用户访问TS Web Access不必下载单独的ActiveX® control,相反,RDP客户版6.0或更高版本包括必须的ActiveX control。
TS远程程序列表可以动态更新
TS Web Access配置时,出现在终端服务远程程序网络部分中的远程程序(Remote Programs)列表可以动态更新。这一列表是从单一终端服务器的Allow List组装而来。
管理员可以指定用于组装远程程序列表的数据源。数据源为单一服务器时,网络部分装有为服务器Allow List网络路径配置的全部远程程序。展示在网络部分的程序列表不特指当前用户。
动态配置程序列表以及指定远程程序数据源的能力简化了网络中远程程序配置。如果只有单一终端服务器,使用终端服务器数据源配置程序将十分容易。终端服务之前的版本并未向动态更新网站提供远程程序列表机制。
终端服务远程程序网络部分
TS Web Access提供可以客户化的终端服务远程程序网络部分,其中远程程序列表已经完成配置。使用下列任何一种方法均可以配置网络部分:
• 将配置远程程序网络部分作为TS Web Access网页的一部分(这是默认的可以直接使用的解决方案)
• 将配置网络部分作为用户话网页的一部分
TS Web Access提供了灵活的、可以直接使用的解决方案。所提供的TS Web Access网页以及网络部分允许迅速、快捷执行TS Web Access站,让用户使用网页配置TS Web Access。
TS网关的部分关键优点:
• 使远程用户从互联网安全连接到企业网络资源中,无需复杂的虚拟喜人网络(VPN)连接,提供更安全的模式,允许用户访问部分服务器与工作站,而非通过VPN访问整个企业网络。
• 调解HTTPS协议的安全性与可用性,提供给不带客户配置的终端服务。
• 提供完整的安全配置模式,使管理员可以控制网络中特定资源的路径。
• 使用户可以跨过防火墙和网络地址翻译(NATs)远程连接到终端服务器以及远程工作站
• TS网关通过使用HTTP安全套接层(SSL)隧道传输所有RDP流量(通常会通过端口3389发送)至端口443。这意味着所有用户客户机以及TS网关的流量都将在经过因特网传输时进行加密。
TS网关管理
TS网关管理snap-in控制台使管理员可以配置政策,但使所有用户连接到网络资源必须得到满足。TS网关管理snap-in控制台提供工具,帮助管理员监视TS网关事件。通过使用TS网关管理,用户可以指定事件,如用户希望监视的连接TS网关服务器的不成功的连接尝试。事件发生时,相应事件可以通过使用Event Viewer进行监视。
TS网关管理还可以使IT人员检查细节,这些细节是活动用户连接、设置最大连接限制以及操作其他行动以控制通过TS网关服务器连接网络资源的路径。
终端服务器网关为企业提供安全与辩解的方式,使远程用户在网络内无需进行安装与配置VPN连接,就可以拥有接入服务器以及工作站的路径。全面的安全特点也使管理员可以控制特定资源路径。
TS网关功能性
Windows Server 2008中的TS网关提供一些新的特征,简化管理、增强安全。
连接授权政策(CAPs)
连接授权权政策(Connection authorization policies,CAPs)允许管理员指定用户、用户群以及可访问TS网关服务器的随意计算机组。CAPs通过使用TS网关管理而创建。CAPs提供在企业网络中对于远程计算机路径更高层的控制,因此简化管理,加强安全。
使用CAPs,管理员可以要求用户、用户群以及或电脑组符合访问TS网关服务器的特定条件。特定条件可为每个CAP列出。例如,管理员可以指定连接需求,如智能卡的使用可以定义特定用户群,这种特定用户群得到允许,可以连接到企业网络的资源中;也可以定义特定资源,用户可以连接到这些资源;可以定义特定用户群会员要求,等等。当用户满足或超过包含其组群名、设定在CAP中的条件时,用户可以访问TS网关服务器的路径。
资源组以及资源认可政策(RAPs)
定义CAPs后,必须创建资源组以及定义资源授权政策(RAPs),二者允许用户从TS网关服务器中访问网络中特定远程计算机。使用TS网关管理控制其创建并管理CAPs以及RAPs。
资源组使管理员可以定义远程计算机组,用户可以访问这种远程计算机组。RAPs使用户访问资源组可以得到管理。通过TS网关服务器连接到网络的用户,在满足或超过在RAP中定义的至少一个条件,可以获得在网络中访问指定远程计算机的路径。安全组不手动创建资源组,可以定义为在Active Directory®目录服务中,用于管理访问条件。
为保证相关用户可以访问网络中正确的远程计算机,管理员计划并创建资源组必须谨慎。必须进行评估以决定哪些用户应该拥有访问每个资源组的路径,之后必须创建一个或更多RAPs,以便在有需要时准许户路径。
监控能力
TS网关管理提供检查关于从客户到网络中远程电脑通过TS网关积极连接的信息。这一信息包括客户机IP地址、登陆客户机的用户使用名、与客户机相连的远程电脑名,以及连接闲置的时间长度,如果适用。管理员可以指定希望检测的事件,后使用Event Viewer监测这些事件。
与网络访问保护整合(NAP)
TS网关于网络访问保护(NAP)整合,提高Windows Server 2008中的安全。IT专业人士可以整合TS网关服务器,客户机可以使用NAP。这样,尝试登陆终端服务器的远程用户,如果使用的电脑不符合网络安全要求,TS网关将被拒其绝访问终端服务器。
NAP是健康政策创作物、执行以及纠正技术,包括在Windows Vista 以及 Windows Server 2008之内。有了NAP,系统管理员可以在与TS网关服务器相连的终端服务客户机上执行健康要求。使用NAP,IT员工先确保终端服务机满足企业健康政策需求,之后允许企业网络中的计算机通过TS网关服务器(如需更多NAP信息,请参阅第五章:安全与政策执行)进行连接。
注:NAP技术不适用于TS终端。
终端服务网络接入
终端服务网络访问(TS Web Access)是终端服务角色,允许管理员使用户无需用户安装任何软件,就可以从网络浏览器使用终端服务远程App程序。拥有TS网络访问(TS Web Access),用户可以访问网站并且获得所有可用应用列表。当用户开始所列的程序之一,终端服务session为该用户自动开始,该用户位于基于Windows Server 2008的终端服务器中,该终端服务器为该应用做主机。对用户而言,网络界面提供了集中菜单,显示目前可用的全部远程应用;运行中的远程应用如同选择菜单中的程序一样简单。
TS Web access安装到Windows Server 2008网络服务器后,用户可以连接TS网络访问服务器,访问一台以上基于Windows Server 2008终端服务器的可用远程程序。TS Web Access的优点有:
• 用户可以通过互联网或企业内部网从一个网站访问远程程序(Using Remote Programs)。点击程序图标即开始远程程序。
• 使用远程程序(Using Remote Programs),程序会在运行本地计算机时出现。
• 如果用户启用多个Remote Program,同时程序在同一台终端服务器上运行,则程序在相同的终端服务器session中运行。
• 使用TS Web Access,上级管理会减少。中央地点可以轻松配置程序,因为程序在终端服务器上运行,而不在客户机算机上运行,所以服务器更容易维护。
• TS Web Access 提供最小配置的解决方案。TS Web Access网络页面包括自定义的网络部分,这部分可以与自定义的网络页面或Microsoft Windows SharePoint®服务页整合。
• 如果Group Policy软件分配远程程序配置Remote Programs,出现在终端服务远程程序网络部分中的可用程序列表可以用户化为个人用户。
• TS Web Access可以用于提供访问整个桌面的路径。
使用TS Web Access可以减少上一级管理,中央地点访问程序也十分便捷。程序在终端服务器上运行,不在客户计算机上运行,所以IT人员拥有维护、更新应用的单一实例。
增强网络体验
较之终端服务早先的版本,TS Web Access提供大力完善的网络体验。改善包括:
• 拥有TS Web Access,用户不必开始远程桌面连接(RDC)客户才能启动Remote Program。相反,用户可以访问网络页面,再点击程序图标。
• Remote Programs自身运行在本地桌面上。
• 如果用户开始多个程序并且这些程序全部运行在同一个终端服务器上,则程序也运行在同一个终端服务器session中。
• 用户访问TS Web Access不必下载单独的ActiveX® control,相反,RDP客户版6.0或更高版本包括必须的ActiveX control。
TS远程程序列表可以动态更新
TS Web Access配置时,出现在终端服务远程程序网络部分中的远程程序(Remote Programs)列表可以动态更新。这一列表是从单一终端服务器的Allow List组装而来。
管理员可以指定用于组装远程程序列表的数据源。数据源为单一服务器时,网络部分装有为服务器Allow List网络路径配置的全部远程程序。展示在网络部分的程序列表不特指当前用户。
动态配置程序列表以及指定远程程序数据源的能力简化了网络中远程程序配置。如果只有单一终端服务器,使用终端服务器数据源配置程序将十分容易。终端服务之前的版本并未向动态更新网站提供远程程序列表机制。
终端服务远程程序网络部分
TS Web Access提供可以客户化的终端服务远程程序网络部分,其中远程程序列表已经完成配置。使用下列任何一种方法均可以配置网络部分:
• 将配置远程程序网络部分作为TS Web Access网页的一部分(这是默认的可以直接使用的解决方案)
• 将配置网络部分作为用户话网页的一部分
TS Web Access提供了灵活的、可以直接使用的解决方案。所提供的TS Web Access网页以及网络部分允许迅速、快捷执行TS Web Access站,让用户使用网页配置TS Web Access。
0
相关文章
关注我们
