功能
TS網關有許多優點,其中包括:
通過TS網關,遠程用戶可以使用加密連線,通過 Internet 連線到內部網路資源,而不必配置虛擬專用網路 (VPN) 連線。 TS 網關提供全面的安全配置模型,使您可以控制對特定內部網路資源的訪問。TS網關提供點對點的 RDP 連線,而不是允許遠程用戶訪問所有內部網路資源。通過 TS 網關,大多數遠程用戶可以連線到在專用網路中的防火牆後面或跨網路地址轉換程式 (NAT) 託管的內部網路資源。在此方案中,通過 TS 網關,不必對 TS 網關伺服器或客戶端執行其他配置。在此版本的 Windows Server 之前,採用安全措施來阻止遠程用戶跨防火牆和 NAT 連線到內部網路資源。這是由於出於網路安全考慮,通常通過防火牆阻止連線埠 3389(用於 RDP 連線的連線埠)。TS 網關使用 HTTP 安全套接字層/傳輸層安全 (SSL/TLS) 隧道將 RDP 通信傳輸到連線埠 443。由於大多數公司打開連線埠 443 來支持 Internet 連線,所以,TS 網關利用此網路設計提供跨多個防火牆的遠程訪問連線。通過 TS 網關管理器管理單元控制台可以配置授權策略,以定義遠程用戶要連線到內部網路資源必須滿足的條件。例如,可以指定:可以連線到網路資源的用戶(即,可以連線的用戶組)。 用戶可以連線到的網路資源(計算機組)。客戶端計算機是否必須是 Active Directory 安全組的成員。是否允許設備和磁碟的重定向。客戶端需要使用智慧卡身份驗證還是密碼身份驗證,或者可以使用任一方法。可以將 TS 網關伺服器和終端服務客戶端配置為使用網路訪問保護 (NAP) 來進一步提高安全性。NAP 是 Windows(R) XP Service Pack 3 (SP3)、Windows Vista® 和 Windows Server 2008 中包含的健康策略創建、強制實施和修正技術。通過 NAP,系統管理員可以強制實施健康狀況要求,其中包括硬體要求、安全更新要求、所需的計算機配置以及其他設定。 備註 在 TS 網關強制使用 NAP 時,運行 Windows Server 2008 的計算機不能作為 NAP 客戶端使用。如果 TS 網關強制使用 NAP,則只有運行 Windows XP SP3 和 Windows Vista 的計算機可以作為 NAP 客戶端使用。 有關如何將 TS 網關配置為使用 NAP 對連線到 TS 網關伺服器的終端服務客戶端強制實施健康策略的信息,請參閱“TS 網關循序漸進指南”。 可以將 TS 網關伺服器與 Microsoft Internet Security and Acceleration (ISA) 伺服器結合使用來增強安全性。在此方案中,可以在專用網路(而不是外圍網路,也稱為 DMZ、隔離區和禁止子網)中承載 TS 網關伺服器,並且可以在外圍網路中承載 ISA 伺服器。可以在面向 Internet 的 ISA 伺服器上終止終端服務客戶端和 ISA 伺服器之間的 SSL 連線。 有關如何將 ISA 伺服器配置為 TS 網關伺服器方案的 SSL 終結設備的信息,請參閱“TS 網關循序漸進指南”。 TS 網關管理器管理單元控制台可提供有助於您監視 TS 網關的連線狀態、運行狀況和事件的工具。通過使用 TS 網關管理器,可以指定為了進行審核要監視的事件(例如嘗試連線到 TS 網關伺服器不成功)。
注意事項
若要正常使用 TS網關,必須滿足下列先決條件:
必須擁有安裝了 Windows Server 2008 的伺服器。 您必須是要配置為 TS網關伺服器的計算機上的 Administrators 組的成員。 必須為 TS 網關伺服器獲取外部信任 SSL 證書(如果尚未取得)。默認情況下,在TS網關伺服器上,RPC/HTTP 負載平衡服務和 IIS 服務使用傳輸層安全 (TLS) 1.0 對在客戶端和 TS 網關伺服器之間通過 Internet 的通信進行加密。若要正常使用 TLS,必須在 TS 網關伺服器上安裝 SSL 證書。備註 如果可以使用其他方法獲取符合 TS網關的要求的外部信任證書,則不需要在組織中部署證書頒發機構 (CA) 基礎結構。如果您的公司沒有獨立 CA 或企業 CA,並且您沒有受信任公用 CA 頒發的兼容證書,則可以為 TS 網關伺服器創建並導入自簽名證書,以便進行技術評估和測試。 證書必須符合下列要求:除非使用的是通配符證書或證書的 SAN 屬性,否則,伺服器證書的主題行中的名稱(證書名稱,即 CN)必須與客戶端連線到 TS 網關伺服器時使用的 DNS 名稱匹配。如果您的組織通過企業 CA 頒發證書,必須配置證書模板,以便在證書請求中提供相應的名稱。如果您的組織通過獨立 CA 頒發證書,則不必這樣做。證書是計算機證書。證書的指定用途是伺服器身份驗證。擴展密鑰用法 (EKU) 是伺服器身份驗證 (1.3.6.1.5.5.7.3.1)。證書具有相應的私鑰。證書未過期。我們建議證書自安裝之日起,具有一年的有效期。不需要證書對象標識符(也稱為 OID)2.5.29.15。但是,如果計畫使用的證書包含對象標識符 2.5.29.15,則僅還在同時設定至少下列密鑰用法值之一的情況下,才可以使用該證書:CERT_KEY_ENCIPHERMENT_KEY_USAGE、CERT_KEY_AGREEMENT_KEY_USAGE 和 CERT_DATA_ENCIPHERMENT_KEY_USAGE。有關這些值的詳細信息,請參閱高級證書註冊和管理()(可能為英文網頁)。證書在客戶端上必須是可信的。即,為 TS 網關伺服器證書籤名的 CA 的公用證書必須位於客戶端計算機上的受信任根證書頒發機構存儲中。 有關 TS 網關的證書要求及如何獲取和安裝證書(如果尚未獲取和安裝)的詳細信息,請參閱“TS 網關循序漸進指南”。
此外,請記住以下注意事項:
TS 網關通過使用 HTTPS 隧道將所有 RDP 通信(通常將通過連線埠 3389 傳送)傳輸到連線埠 443。這也意味著在客戶端和 TS 網關之間的所有通信在通過 Internet 傳輸時被加密。 若要正常使用 TS 網關,要求安裝並運行多個角色服務和功能。當使用伺服器管理器安裝 TS 網關角色服務時,將自動安裝和啟動以下附加角色服務和功能(如果尚未安裝): HTTP 代理上的遠程過程調用 (RPC) Web 伺服器 (IIS) [Internet 信息服務 7.0]。 必須安裝並運行 IIS 7.0,HTTP 代理上的 RPC 服務才能正常運行。網路策略和訪問服務。 還可以將 TS 網關配置為使用另一台運行網路策略伺服器 (NPS) 服務的伺服器上存儲的終端服務連線授權策略 (TS CAP)。您可以使用此 NPS 伺服器(以前稱為遠程身份驗證撥入用戶服務 (RADIUS) 伺服器)來集中存儲、管理和驗證 TS CAP。如果已為遠程訪問方案(例如 VPN 和撥號網路)部署了 NPS 伺服器,對 TS 網關方案同樣使用這個現有的 NPS 伺服器,可以改善您的部署。不過,在此配置中,TS 網關伺服器上仍需要 NPS 伺服器充當中心 NPS 伺服器的代理伺服器。
準備工作
應查看此主題以及有關 TS網關的其他支持文檔,包括“TS 網關循序漸進指南”。 還應準備獲得一份 SSL 證書,或從自己的證書頒發機構 (CA) 頒發一個。您應熟悉 TLS 和 SSL 協定(如果尚未熟悉)。
用途
TS網關提供了從公司網路之外訪問 RDP 資源的功能,並包含以下簡化管理和加強安全性的新功能。
TS CAP
終端服務連線授權策略 (TS CAP) 允許您指定可以訪問 TS網關伺服器的用戶組(還可以指定客戶端計算機組)。可以通過使用 TS 網關管理器創建 TS CAP。
為什麼 TS CAP 非常重要?TS CAP 通過向內部網路上的計算機提供更高級別的訪問控制,簡化了管理並提高了安全性。
通過 TS CAP,可以指定可連線到 TS 網關伺服器的用戶。可以指定存在於本地 TS 網關伺服器上或 Active Directory 域服務中的用戶組。還可以指定用戶要訪問 TS 網關伺服器必須滿足的其他條件。可以在每個 TS CAP 中列出特定的條件。例如,您可能要求用戶使用智慧卡通過 TS 網關建立連線。
如果用戶滿足 TS CAP 中指定的條件,將被授予訪問 TS 網關伺服器的許可權。
重要事項 |
如果用戶滿足 TS CAP 中指定的條件,將被授予訪問 TS 網關伺服器的許可權。必須還要創建終端服務資源授權策略 (TS RAP)。TS RAP 允許您指定用戶可以通過 TS 網關連線到的內部網路資源。在您創建 TS CAP 和 TS RAP 之前,用戶無法通過此 TS 網關伺服器連線到內部網路資源。 |
TS RAP
通過 TS RAP,可以指定遠程用戶可通過 TS 網關伺服器連線到的公司內部網路資源。在創建 TS RAP 時,可以創建計算機組(內部網路上希望遠程用戶連線到的一組計算機)並將其與 TS RAP 關聯。
如果通過 TS 網關伺服器連線到內部網路的遠程用戶至少滿足一個 TS CAP 和一個 TS RAP 中指定的條件,將被授予訪問網路上的計算機的許可權。
備註 |
將受 TS 網關管理的計算機組與 TS RAP 關聯時,可以通過將完全限定的域名 (FQDN) 和 NetBIOS 名稱分別添加到受 TS 網關 管理的計算機組中,同時支持這兩個名稱。將 Active Directory 安全組與 TS RAP 關聯時,如果客戶端要連線到的內部網路計算機與 TS 網關伺服器屬於同一個域,將自動支持 FQDN 和 NetBIOS 名稱。如果內部網路計算機與 TS 網關伺服器分別屬於不同的域,用戶必須指定內部網路計算機的 FQDN。 |
TS CAP 和 TS RAP 相結合,提供兩個不同的授權級別,使您可以為內部網路上的計算機配置更具體的訪問控制級別。與 TS RAP 關聯的安全組和受 TS 網關管理的計算機組 遠程用戶可以通過 TS 網關連線到安全組或受 TS 網關管理的計算機組中的內部網路資源。該組可以是下列任一項目:
現有安全組的成員。該安全組可以存在於 TS 網關伺服器上的本地用戶和組中,也可以存在於 Active Directory 域服務中。
受 TS 網關管理的現有計算機組或受 TS 網關管理的新計算機組的成員。可以在安裝之後使用 TS 網關管理器配置受 TS 網關管理的計算機組。
受 TS 網關管理的計算機組不會出現在 TS 網關伺服器上的本地用戶和組中,也無法使用本地用戶和組進行配置。
將內部網路計算機添加到受 TS 網關管理的計算機的列表中時,請記住,如果希望通過指定計算機的計算機名稱或 IP 地址,允許遠程用戶連線到該計算機,必須將該計算機添加到計算機組中兩次(通過指定計算機的計算機名稱並將其添加到計算機組中,然後指定計算機的 IP 地址並將其再次添加到計算機組中)。如果在將計算機添加到計算機組中時,只指定了計算機的 IP 地址,用戶在通過 TS 網關連線到該計算機時,必須還要指定該計算機的 IP 地址。
重要事項 |
為了確保遠程用戶可以連線到指定的內部公司網路計算機,如果未將計算機配置為使用靜態 IP 地址,則建議您不要指定計算機的 IP 地址。例如,如果組織使用 DHCP 動態重新配置計算機的 IP 地址,則不應指定 IP 地址。為了確保遠程用戶可以連線到指定的內部公司網路計算機,如果未將計算機配置為使用靜態 IP 地址,則建議您不要指定計算機的 IP 地址。例如,如果組織使用 DHCP 動態重新配置計算機的 IP 地址,則不應指定 IP 地址。 |
任意網路資源。在這種情況下,用戶可以連線到使用遠程桌面連線時可連線的內部網路上的任何計算機。
為確保相應的用戶具有訪問相應的網路資源的許可權,請仔細計畫和創建安全組和受 TS 網關管理的計算機組。評估應具有許可權訪問每個組的用戶,然後將該組與 TS RAP 關聯以根據需要向用戶授予訪問許可權。
監視功能
可以使用 TS 網關管理器查看與從終端服務客戶端通過 TS 網關連線到公司內部網路資源的活動連線有關的信息。此類信息包括:
連線 ID。連線 ID 以 格式顯示,其中 a 是唯一標識到 TS 網關伺服器的特定連線的隧道 ID,b 是通道 ID。隧道 ID 代表終端服務網關服務運行以來,TS 網關伺服器已收到的連線的數量。每次 TS 網關伺服器收到新連線時,隧道 ID 將遞增 1。
登錄到客戶端的用戶的域和用戶 ID。
登錄到客戶端的用戶的全名。
建立連線的日期和時間。
連線處於活動狀態的時間長度。
連線處於空閒狀態的時間長度(如果適用)。
客戶端連線到的內部網路計算機的名稱
客戶端的 IP 地址
備註 |
如果您的網路配置包含代理伺服器,出現在 “客戶端 IP 地址”列(在 “監視”細節窗格中)中的 IP 地址可能反映代理伺服器的 IP 地址,而不是終端服務客戶端的 IP 地址。 |
客戶端連線到的內部網路計算機連線埠
還可以指定您想要監視的事件類型,例如通過 TS 網關伺服器到內部網路計算機的不成功或成功的連線嘗試。
當這些事件發生時,可以通過使用 Windows 事件查看器監視對應的事件。TS 網關事件存儲在事件查看器中的 “應用程式和服務日誌\Microsoft\Windows\Terminal Services-Gateway\” 下。
策略設定
可以使用組策略和 Active Directory 域服務集中和簡化 TS 網關策略設定的管理。使用本地組策略編輯器配置本地策略設定,該設定包含在組策略對象 (GPO) 中。使用組策略管理控制台 (GPMC) 將 GPO 連結到 Active Directory 域服務中的站點、域或組織單位 (OU)。
可以通過下列兩種方式中的任一方式對通過 TS 網關建立的終端服務客戶端連線套用組策略設定。可以推薦使用這些策略設定(即,可以啟用,但是不能強制使用),也可以啟用並強制使用這些策略設定。建議策略設定允許在客戶端上的用戶輸入備用 TS 網關連線設定。強制實施策略設定可防止用戶更改 TS 網關連線設定,即使他們在客戶端上選擇了 “使用這些 TS 網關伺服器設定”選項也是如此。
以下三個組策略設定都可用於 TS 網關伺服器:
設定 TS 網關伺服器身份驗證方法:允許您指定終端服務客戶端在通過 TS 網關伺服器連線到內部網路資源時必須使用的身份驗證方法。
啟用通過 TS 網關連線:允許您指定當終端服務客戶端無法直接連線到內部網路資源時,客戶端將嘗試通過在 “設定 TS 網關伺服器地址”策略設定中指定的 TS 網關伺服器連線到內部網路資源。
設定 TS 網關伺服器地址:允許您指定終端服務客戶端在其無法直接連線到內部網路資源時使用的 TS 網關伺服器。
重要事項 |
如果禁用或不配置此策略設定,但啟用 “啟用通過 TS 網關連線”策略設定,則如果客戶端無法直接連線到網路資源,客戶端到任何內部網路資源的連線嘗試將失敗。 |
無需更改代碼
您無需更改任何現有代碼即可使用TS網關。TS網關僅管理創建到公司內部網路計算機的連線的方式。
備註 |
TS 網關可以將連線路由到任何基於終端服務的會話,包括在基於 Windows Server 2008、Windows Server 2003、Windows Vista 和 Windows XP 的計算機上的會話。 |
如果內部企業網路計算機要使用新終端服務功能,將需要使用 Windows Server 2008、Windows Vista Service Pack 1 和 Windows XP SP3 中附帶的遠程桌面連線 6.1 版軟體。
遠程桌面連線 6.0 版軟體也可以用於 Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2 和 Windows XP Service Pack 2。若要在這些平台上使用任何新終端服務功能,請從 Microsoft 知識庫文章 925876 (可能為英文網頁)下載安裝程式包。
規格參數
TS網關主要接口類型: RJ45主要接口數目: 3口。
主要參數:支持協定: TCP/IP協定,ICMP協定,RIPv2協定,靜態路由協定,動態路由協定,PAP協定,CHAP協定,NAT協定,PPPoE協定,250K個並發會話數,新建會話數7K/秒,防火牆性能120Mbps,40G硬碟,100條VPN隧道數,3DES加密性能30Mbps,病毒郵件掃描25000封/小時,垃圾郵件15000封/小時,HTTP稍描1MB/S; 內置防火牆。
技術條件
TS網關選用要點及訂貨主要技術條件
TS網關是將兩個使用不同協定的網路段連線在一起的設備。它的作用就是對兩個網路段中的使用傳輸協定的數據進行互相的翻譯轉換。比如:一個企業內部區域網路就常常需要通過網關傳送電子郵件到Internet的相關地址。
1)TS網關具有高可擴展性
2) TS網關能夠多協定支持,,能夠對SMTP、HTTP、FTP和POP3通信進行掃描,對網路和用戶應有的保護功能。
3) TS網關能透明的在線上掃描,保存諸如源IP和MAC地址等信息。透明掃描選項在易於安裝的同時,還可以讓您對內部Web伺服器進行保護。
4) TS網關能夠進行內容管理,防止用戶接收或傳送帶有某種類型附屬檔案的郵件、容量過大的郵件或帶有過多、過大附屬檔案的郵件。
5) 檢測垃圾郵件與反中繼。
6) TS網關訂貨主要技術條件能滿足不同通信協定的網路互連,使檔案可以在這些網路之間傳輸,阻止黑客入侵、檢查病毒、身份認證與許可權檢查等很多安全功能,需要VPN完成或在同VPN與相關產品協同完成。
7) 主機房的TS網關選擇規格尺寸要能安裝在主機櫃中。
ts伺服器與ts網關
ts伺服器是塔式伺服器(Tower Server)的簡寫比較常見的一種伺服器結構類型,因為它的外形以及結構都跟立式PC差不多,當然,由於伺服器的主機板擴展性較強、插槽也多出一堆,所以個頭比普通主機板大一些,因此塔式伺服器的主機機箱也比標準的ATX機箱要大,一般都會預留足夠的內部空間以便日後進行硬碟和電源的冗餘擴展。與ts網關不是同一概念,也沒有直接關係,且人們常說的ts網關伺服器也多指的是承載ts終端網關伺服器,而非ts伺服器。